El malware BeaverTail está de vuelta, y esta vez viene escondido en paquetes npm maliciosos dirigidos a desarrolladores. Si trabajas en tecnología, sabes que npm es una de las plataformas esenciales para compartir y descargar librerías de código abierto. Pero ese mismo ecosistema, confiado por muchos, ahora está siendo explotado para distribuir este malware que permite a los atacantes acceder a sistemas vulnerables y robar información sensible.
En septiembre de 2024, salieron a la luz tres paquetes maliciosos en el registro de npm que traen consigo un viejo conocido del mundo del malware: BeaverTail. Este software malicioso, diseñado para robar información y descargar otros archivos peligrosos, parece estar ligado a una campaña norcoreana en curso llamada "Contagious Interview".
Un equipo de investigadores de seguridad está siguiendo de cerca esta actividad bajo el nombre Tenacious Pungsan (también conocida en algunos círculos como CL-STA-0240 o Famous Chollima). Aquí te dejamos los nombres de los paquetes maliciosos que, afortunadamente, ya han sido eliminados del registro de npm:
- passports-js: una versión alterada de "passport" con puerta trasera (118 descargas)
- bcrypts-js: una copia modificada de "bcryptjs" con puerta trasera (81 descargas)
- blockscan-api: una versión falsa de "etherscan-api" con puerta trasera (124 descargas)
Estos paquetes formaban parte de una campaña llamada "Contagious Interview", que lleva más de un año activa y se atribuye a actores de Corea del Norte. La estrategia es engañar a desarrolladores, haciéndoles descargar estos paquetes maliciosos o incluso aplicaciones de videoconferencia aparentemente inofensivas, todo bajo el pretexto de una prueba de codificación. Esta campaña fue descubierta en noviembre de 2023, y desde entonces ha estado tratando de aprovecharse de quienes confían en estas librerías y herramientas.
Podría interesarte leer: Análisis de Malware con Wazuh
No es la primera vez que los ciberatacantes aprovechan los paquetes npm para distribuir el malware BeaverTail. En agosto de 2024, se descubrió otro grupo de paquetes maliciosos en npm que facilitaban la entrada de BeaverTail y una puerta trasera en Python llamada InvisibleFerret.
Entre los paquetes maliciosos detectados en ese momento estaban temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate y qq-console. Curiosamente, muchos de estos paquetes intentaban imitar al popular "etherscan-api", lo cual sugiere que el sector de las criptomonedas sigue siendo un objetivo constante para estos actores maliciosos.
Más recientemente, en septiembre, otra empresa de ciberseguridad, encontró una nueva tanda de paquetes npm falsos: eslint-module-conf y eslint-scope-util. Estos estaban diseñados para robar criptomonedas y establecer acceso persistente en las máquinas de desarrolladores afectados.
Según un análisis de Palo Alto Networks, esta campaña ha sido efectiva al explotar la confianza y urgencia de quienes buscan trabajo, especialmente cuando aplican a oportunidades en línea y descargan recursos supuestamente legítimos. Estos hallazgos dejan claro que los atacantes están utilizando cada vez más la cadena de suministro de software de código abierto como un vector de ataque para llegar a sus objetivos.
Copiar y modificar paquetes npm legítimos para añadir puertas traseras se ha convertido en una táctica común en este ecosistema. Estas campañas, incluida la llamada "Contagious Interview", dejan claro que los desarrolladores individuales siguen siendo un blanco importante para estos grupos de amenazas, especialmente aquellos con vínculos a Corea del Norte.
Conoce más sobre: Defender for Cloud: Seguridad de Desarrollo
Conclusión
La ciberseguridad debería ser una prioridad para todos los desarrolladores, sin importar en qué país se encuentren. Ataques como el de BeaverTail en npm nos recuerdan que cualquier descuido puede ser aprovechado. Más allá de escribir buen código, es clave aplicar prácticas de seguridad en cada proyecto y estar atentos a nuevas amenazas.
