AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Descubierta campaña «Ghost» en npm: nuevos paquetes maliciosos orientados al robo de carteras de criptomonedas

admin

#### Introducción

Un reciente análisis llevado a cabo por investigadores de ReversingLabs ha sacado a la luz una campaña de distribución de paquetes npm maliciosos, denominada «Ghost». Esta amenaza, que afecta a desarrolladores y organizaciones que utilizan el ecosistema Node.js, está específicamente diseñada para robar carteras de criptomonedas y datos sensibles. Los paquetes identificados —publicados bajo el usuario “mikilanjillo”— demuestran una sofisticación creciente en el abuso de repositorios de software de código abierto como vector de ataque.

#### Contexto del Incidente

La dependencia de librerías y módulos de terceros en el desarrollo moderno, especialmente en entornos JavaScript y Node.js, ha convertido a los repositorios públicos como npm en objetivos prioritarios para la distribución de malware. Los atacantes aprovechan la confianza depositada en estos ecosistemas para introducir código malicioso y comprometer cadenas de suministro de software. La campaña Ghost sigue la tendencia de los denominados “supply chain attacks”, una amenaza en claro auge según informes recientes de ENISA y bajo el foco de la directiva NIS2.

Los paquetes identificados en esta campaña son:

– react-performance-suite
– react-state-optimizer-core
– react-fast-utilsa
– ai-fast-auto-trader

Todos ellos publicados por el usuario «mikilanjillo», que ha sido eliminado de npm tras la denuncia.

#### Detalles Técnicos

**CVE y vectores de ataque**

Por el momento, la campaña Ghost no está asociada a un CVE específico, ya que el vector principal es la distribución de código malicioso a través de paquetes aparentemente legítimos. El ataque se materializa en la fase de instalación, donde scripts postinstall ejecutan payloads ofuscados que inician la exfiltración de datos.

**Tácticas, Técnicas y Procedimientos (TTPs) MITRE ATT&CK**

– **T1195 – Supply Chain Compromise:** Compromiso de la cadena de suministro mediante la publicación de paquetes maliciosos en repositorios públicos.
– **T1059 – Command and Scripting Interpreter:** Ejecución de scripts maliciosos en el sistema de la víctima tras la instalación.
– **T1567 – Exfiltration Over Web Service:** Exfiltración de información a través de canales HTTP(s) cifrados.

**Indicadores de Compromiso (IoC)**

– Presencia de los paquetes mencionados en el archivo `package.json`.
– Actividad de red hacia dominios y direcciones IP controlados por los atacantes tras la instalación.
– Ofuscación en archivos JavaScript, generalmente bajo nombres poco descriptivos o pseudoaleatorios.

**Herramientas y frameworks empleados**

Algunos análisis han detectado referencias a frameworks de post-explotación como Metasploit para la generación de payloads, aunque la carga principal es un custom stealer enfocado en la extracción de archivos de carteras de criptomonedas (por ejemplo, wallets de Ethereum y archivos `wallet.dat` de Bitcoin) y credenciales almacenadas en navegadores.

#### Impacto y Riesgos

Se estima que los paquetes maliciosos han sido descargados en torno a 1.500 veces antes de ser retirados, con un alcance global pero especial incidencia en proyectos de desarrollo ágil y startups del ámbito fintech. El impacto potencial incluye:

– Compromiso de activos digitales (criptomonedas y tokens).
– Robo de credenciales y datos de autenticación.
– Pérdidas económicas directas e indirectas (robos y sanciones regulatorias por GDPR).
– Daño reputacional y pérdida de confianza de clientes o usuarios finales.

En el contexto de la directiva NIS2, este tipo de incidentes pone de manifiesto la necesidad de reforzar la gestión de dependencias y monitorización de la cadena de suministro.

#### Medidas de Mitigación y Recomendaciones

1. **Auditoría inmediata** de los proyectos que incluyan los paquetes afectados; eliminar cualquier dependencia sospechosa del árbol de dependencias.
2. **Revisión de logs y telemetría** para identificar actividad inusual o conexiones salientes no autorizadas tras la instalación.
3. **Implementación de políticas de control de integridad** (por ejemplo, npm audit, SCA/SCA premium) y uso de registros con firma (npm package signing).
4. **Educación y concienciación** de los equipos de desarrollo sobre los riesgos inherentes a la instalación de paquetes no verificados.
5. **Actualización regular** de herramientas y dependencias, así como la integración de soluciones de EDR en estaciones de desarrollo.

#### Opinión de Expertos

Marcos Gutiérrez, CISO de una fintech española, destaca: “La proliferación de ataques dirigidos a la cadena de suministro es uno de los retos más complejos de los próximos años. La detección temprana y la visibilidad sobre las dependencias de terceros serán clave. Herramientas de análisis estático y dinámico, combinadas con threat intelligence, deben formar parte esencial del ciclo DevSecOps”.

Por su parte, desde ReversingLabs se incide en la importancia de la colaboración con los grandes repositorios para agilizar la retirada de paquetes maliciosos y mejorar los sistemas de verificación de identidad de los publicadores.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben considerar el refuerzo de sus procesos de seguridad en la cadena de suministro como un aspecto estratégico, especialmente aquellas que gestionan activos financieros o datos sensibles bajo el marco regulatorio europeo (GDPR, NIS2). Los desarrolladores, por su parte, han de extremar precauciones al incorporar nuevas librerías, priorizando fuentes confiables y versiones auditadas.

El uso de dependabot, Snyk o similares debe ser complementado con auditorías manuales y la revisión de los scripts postinstall, que siguen siendo un vector de ataque recurrente y difícil de mitigar automáticamente.

#### Conclusiones

La campaña Ghost evidencia la sofisticación creciente de los atacantes en el ecosistema npm y la urgencia de adoptar un enfoque proactivo y holístico en la gestión de dependencias. La seguridad en la cadena de suministro debe priorizarse tanto a nivel técnico como organizativo para mitigar riesgos que pueden tener consecuencias económicas y regulatorias significativas. Solo mediante la combinación de herramientas, procesos y concienciación será posible reducir la superficie de exposición ante este tipo de amenazas.

(Fuente: feeds.feedburner.com)