- El Google Threat Intelligence Group advirtió sobre un ataque activo a la cadena de suministro en la biblioteca Axios de NPM
- La dependencia maliciosa “plain-crypto-js” implementó la puerta trasera WAVESHAPER.V2 en Windows, macOS y Linux.
- La atribución apunta al grupo UNC1069 de Corea del Norte, conocido por campañas de larga duración dirigidas a criptomonedas y desarrolladores de software.
Los actores de amenazas patrocinados por el estado de Corea del Norte están apuntando a un paquete npm muy popular en un intento de infectar a los usuarios con malware.
En un aviso de seguridad, Threat Intelligence Group (GTIG) de Google dijo que estaba monitoreando un “ataque activo a la cadena de suministro de software” dirigido a Axios, “la biblioteca JavaScript más popular utilizada para simplificar las solicitudes HTTP”. Simplifica tareas como realizar llamadas API, manejar respuestas y manejar errores en comparación con el uso de herramientas integradas como Fetch o XMLHttpRequest.
Los piratas informáticos atacaron dos versiones del paquete, 1.14.1 y 0.30.4, que según Google suelen tener 100 millones y 83 millones de descargas semanales, respectivamente. Intentaron introducir una dependencia maliciosa llamada “plain-crypto-js”, un gotero ofuscado que implementaba la puerta trasera WAVESHAPER.V2 en los sistemas operativos Windows, macOS y Linux.
El artículo continúa a continuación.
Vinculado a Corea del Norte
Google describe WAVESHAPER.V2 como una “RAT completamente funcional”, capaz de reiniciar (extraer telemetría), ejecutar comandos (inyectar ejecutables portátiles en memoria y comandos de shell arbitrarios) y enumerar el sistema (devolver metadatos detallados).
Fue escrito en C++, pero se han inventado otras variantes, escritas en PowerShell y Python, para apuntar a diferentes entornos.
Fue a partir de esta puerta trasera que Google concluyó que se trataba de una campaña patrocinada por Corea del Norte. GTIG dice que WAVESHAPER.V2 es una versión actualizada de WAVESHAPER, una puerta trasera utilizada anteriormente por un actor de amenazas de Corea del Norte-Nexus llamado UNC1069.
“Además, el análisis de los patrones de infraestructura utilizados en este ataque muestra una superposición con la infraestructura utilizada por UNC1069 en actividades pasadas”, dijo Google.
Aparentemente, UNC1069 ha estado activo desde al menos 2018, lo que lo convierte en uno de los grupos de actores de amenazas más antiguos que existen. A principios de este año, mandiente Observó que empresas del sector de las criptomonedas utilizaban una combinación de cuentas de Telegram comprometidas, llamadas falsas de Zoom, vídeos deepfake y media docena de cepas de malware para atacar y robar sus pilas de criptomonedas.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
