AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Nueva campaña de Corea del Norte utiliza paquetes npm maliciosos para atacar a desarrolladores**

admin

### 1. Introducción

En las últimas semanas, se ha detectado una nueva oleada de la campaña conocida como “Contagious Interview”, atribuida a actores de amenazas vinculados a Corea del Norte. Esta operación, que ya ha sido documentada en ocasiones anteriores, está ahora centrando sus ataques en desarrolladores de software y profesionales IT que buscan nuevas oportunidades laborales. Los atacantes emplean paquetes npm maliciosos que, una vez instalados, comprometen los dispositivos de las víctimas mediante el despliegue de infostealers y puertas traseras, poniendo en riesgo tanto activos personales como corporativos.

### 2. Contexto del Incidente

La campaña “Contagious Interview” fue identificada inicialmente por la comunidad de ciberseguridad a finales de 2022, pero en este nuevo ciclo de ataques (Q2 2024), la táctica ha evolucionado y se ha sofisticado. Tradicionalmente, los grupos APT norcoreanos —vinculados al Lazarus Group y otras células estatales— han enfocado su actividad en la obtención de acceso a infraestructuras críticas y la exfiltración de información sensible. Sin embargo, en esta ocasión, el vector de ataque se centra en el ecosistema de desarrollo JavaScript, comprometiendo la cadena de suministro a través de paquetes npm fraudulentos.

El objetivo principal son desarrolladores freelance y candidatos a puestos en empresas tecnológicas occidentales, a quienes se contacta mediante plataformas profesionales o redes sociales simulando procesos de selección legítimos. En el transcurso de las supuestas entrevistas técnicas, se induce a las víctimas a instalar o revisar repositorios npm, que contienen cargas maliciosas camufladas como dependencias inofensivas o herramientas de evaluación técnica.

### 3. Detalles Técnicos

La campaña está asociada con varios paquetes npm recientemente publicados, algunos de los cuales han recibido identificadores CVE por vulnerabilidades explotadas en el proceso de infección. Entre los paquetes detectados se encuentran nombres similares a librerías populares para dificultar su identificación (typosquatting). Una vez instalado el paquete, se ejecuta código JavaScript ofuscado que descarga y ejecuta payloads adicionales, generalmente desde servidores controlados por los atacantes en infraestructura cloud comprometida.

#### Vectores de ataque identificados:

– **npm typosquatting**: Publicación de paquetes con nombres casi idénticos a dependencias legítimas (ej. `react-dev-utils` vs. `react-dev-util`).
– **Ingeniería social**: Contacto directo con candidatos mediante LinkedIn, GitHub o portales de empleo.
– **Carga de infostealers**: Se han observado variantes de malware como RedLine Stealer y Racoon Stealer, adaptadas a entornos de desarrollo.
– **Backdoors persistentes**: Uso de shells inversas y RATs ligeros, con C2 sobre TLS y DNS-tunneling.

#### TTP MITRE ATT&CK relevantes:

– **T1195**: Supply Chain Compromise
– **T1566**: Phishing (Spearphishing via Service)
– **T1059**: Command and Scripting Interpreter (JavaScript)
– **T1105**: Ingress Tool Transfer

#### IoC recientes:

– Hashes de los paquetes maliciosos en npm: [SHA256 listados en informes de Palo Alto Networks y SentinelOne].
– Dominios C2: Varias direcciones asociadas a VPS en Europa del Este y Asia.

Además, se ha detectado el uso de frameworks de post-explotación como Cobalt Strike para el movimiento lateral y persistencia, así como la integración de scripts automatizados en Metasploit para la exfiltración de credenciales.

### 4. Impacto y Riesgos

El impacto potencial de la campaña es significativo:

– **Afectación**: Se estima que al menos un 0,8% de los desarrolladores activos en npm podrían haber interactuado con paquetes maliciosos entre abril y junio de 2024.
– **Exfiltración de datos**: Robo de credenciales, claves SSH, tokens de acceso a plataformas cloud y secretos de CI/CD.
– **Compromiso de la cadena de suministro**: Riesgo de que los artefactos infectados lleguen a entornos de producción.
– **Riesgo reputacional y regulatorio**: Posible incumplimiento de GDPR y NIS2 debido a brechas de datos y exposición de información personal y corporativa.

### 5. Medidas de Mitigación y Recomendaciones

Para minimizar la superficie de ataque, los equipos de seguridad y desarrollo deben considerar las siguientes acciones:

– **Verificación estricta de dependencias**: Uso de herramientas como npm audit y Snyk para analizar paquetes antes de su integración.
– **Monitorización de IoC**: Implementación de reglas YARA y actualizaciones en EDRs para detectar actividad maliciosa asociada.
– **Concienciación**: Formación específica para desarrolladores sobre ingeniería social y supply chain compromise.
– **Control de acceso y privilegios**: Segmentación de entornos de desarrollo y uso de cuentas con privilegios mínimos.
– **Actualización de sistemas y librerías**: Mantener entornos de build y ejecución debidamente parcheados.

### 6. Opinión de Expertos

Maria González, CISO de una multinacional tecnológica, advierte: “El vector de ataque a través de npm refleja una tendencia clara: los actores de amenazas estatales están sofisticando su enfoque hacia la cadena de suministro y los eslabones más débiles, en este caso, los desarrolladores. La protección debe ser integral, desde la concienciación del personal hasta la monitorización avanzada de la infraestructura”.

Por su parte, el analista de amenazas David Martín (CERT-EU) destaca: “Las campañas de Corea del Norte evolucionan constantemente. La ingeniería social combinada con la manipulación de paquetes públicos supone una amenaza real para cualquier empresa con desarrollos internos o colaboración open-source”.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben asumir que los procesos de selección y colaboración remota pueden ser explotados como vectores de ataque. Es fundamental revisar las políticas de onboarding y verificar la procedencia de cualquier recurso o herramienta sugerida por terceros, especialmente en contextos de reclutamiento internacional. Para los desarrolladores y equipos DevSecOps, la vigilancia sobre los artefactos de terceros y la validación de la cadena de suministro deben ser prioridades permanentes.

### 8. Conclusiones

La nueva ola de la campaña “Contagious Interview” evidencia la capacidad de los grupos APT norcoreanos para adaptar sus métodos y explotar tendencias del sector tecnológico. La utilización de paquetes npm maliciosos representa una amenaza concreta para el ecosistema de desarrollo, con el potencial de comprometer no solo sistemas individuales, sino también la cadena de suministro de software a gran escala. La respuesta efectiva requiere una combinación de tecnología, procesos y formación continua, adaptándose a la evolución constante de las tácticas de los atacantes.

(Fuente: www.bleepingcomputer.com)