Detectan paquetes maliciosos en npm con puertas traseras SSH

Investigadores en ciberseguridad han identificado tres paquetes maliciosos en el registro npm, diseñados para hacerse pasar por una biblioteca legítima de bots de Telegram para Node.js. Estos paquetes, distribuidos en el ecosistema de JavaScript, contienen puertas traseras SSH y funciones de exfiltración de datos, representando una grave amenaza para la seguridad de desarrolladores y sistemas de producción.

Paquetes npm maliciosos detectados

Los paquetes identificados son:

• node-telegram-utils (132 descargas)
• node-telegram-bots-api (82 descargas)
• node-telegram-util (73 descargas)

Según la empresa de seguridad Socket, especializada en proteger la cadena de suministro de software, estos paquetes imitan la biblioteca legítima node-telegram-bot-api, que acumula más de 100,000 descargas semanales. A pesar de su menor alcance, los paquetes fraudulentos todavía están disponibles para su descarga en npm al momento del análisis.

Citar"Aunque las descargas son limitadas, basta con comprometer un único entorno para permitir el acceso no autorizado a servidores de desarrollo o producción", advirtió Kush Pandya, investigador de seguridad en Socket.

Técnicas utilizadas: Starjacking y persistencia en Linux

Los atacantes emplean una técnica conocida como starjacking para simular popularidad y legitimidad. Este método consiste en vincular el paquete malicioso a un repositorio GitHub de una biblioteca auténtica, aprovechando la falta de validación entre el paquete de npm y su fuente en GitHub. Esto engaña a los desarrolladores al hacer que el paquete parezca confiable.

Además, el análisis reveló que los paquetes están específicamente diseñados para funcionar en sistemas Linux. Una vez ejecutados, agregan dos claves SSH al archivo ~/.ssh/authorized_keys, permitiendo a los atacantes un acceso remoto persistente al sistema comprometido.

Los scripts maliciosos también:

• Recopilan el nombre de usuario y la dirección IP externa del sistema mediante ipinfo[.]io.
• Se conectan a un servidor remoto (solana.validator[.]blog) para validar la infección.
• Mantienen el acceso incluso después de eliminar el paquete, ya que las claves SSH insertadas no se eliminan automáticamente.

Otro caso: paquete malicioso @naderabdi/merchant-advcash

La alerta de Socket también incluye un nuevo paquete malicioso denominado @naderabdi/merchant-advcash, el cual simula ser una integración de Volet (antes Advcash) para aceptar pagos con criptomonedas o moneda fiat. Sin embargo, el código contiene una carga útil oculta que establece un shell inverso a un servidor remoto.

A diferencia de otros paquetes que ejecutan código malicioso durante la instalación, este lo hace en tiempo de ejecución, específicamente después de una transacción de pago exitosa. Esta táctica dificulta la detección mediante herramientas automatizadas, ya que el comportamiento malicioso solo se activa en escenarios muy concretos.

Riesgos para la cadena de suministro y medidas de protección

Estos incidentes refuerzan el creciente riesgo de los ataques a la cadena de suministro de software, particularmente en ecosistemas abiertos como npm. El uso de técnicas de evasión avanzadas, persistencia remota y suplantación de bibliotecas populares convierte a estos paquetes en amenazas sofisticadas.

Los desarrolladores deben:

• Verificar manualmente la autenticidad de los paquetes y sus repositorios vinculados.
• Implementar herramientas de análisis estático y detección de malware en dependencias de terceros.
• Monitorear actividades inusuales tras la instalación de nuevos paquetes npm, especialmente aquellos con pocas descargas o actualizados recientemente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta