De acuerdo con algunas estimaciones<\/a>, el 97 % del c\u00f3digo de las aplicaciones web modernas proviene de un m\u00f3dulo npm. No obstante, esta popularidad, as\u00ed como la libertad y facilidad de cargar cualquier paquete tambi\u00e9n atrae, inevitablemente, a los ciberdelincuentes. Por ejemplo, en 2021, atacantes desconocidos comprometieron<\/a> varias versiones de UAParser.js, una popular biblioteca de JavaScript, al insertar c\u00f3digo malicioso. Esta biblioteca era descargada de 6 a 8 millones de veces a la semana. Al infectarla, los ciberdelincuentes pudieron extraer criptomonedas y robar informaci\u00f3n confidencial, como las cookies<\/em> del navegador, las contrase\u00f1as y datos importantes de los sistemas operativos de los dispositivos infectados.<\/p>\n Ahora un ejemplo m\u00e1s reciente: el 26 de julio de 2022, nuestros investigadores descubrieron una amenaza nueva <\/a>\u00a0que apareci\u00f3 en el repositorio npm de c\u00f3digo abierto, a la cual bautizaron LofyLife.<\/p>\n Nuestros investigadores identificaron la campa\u00f1a maliciosa LofyLife mediante un sistema automatizado interno para monitorizar repositorios de c\u00f3digo abierto. La campa\u00f1a us\u00f3 cuatro paquetes maliciosos que difundieron el malware<\/em> Volt Stealer y Lofy Stealer en el repositorio npm para recopilar informaci\u00f3n diversa de las v\u00edctimas (tokens de Discord y datos de tarjetas de cr\u00e9dito vinculadas incluidos) y espiarlas m\u00e1s tarde.<\/p>\n Los paquetes maliciosos identificados parec\u00edan usarse para tareas cotidianas, como formatos de titulares o determinadas funciones en algunos juegos. Las descripciones de dichos paquetes estaban incompletas y, por lo general, parece que los atacantes no emplearon demasiado esfuerzo en ellas. No obstante, el paquete de \u201cformato de titulares\u201d estaba en portugu\u00e9s brasile\u00f1o con el hashtag<\/em> #brazil, lo cual sugiere que el objetivo de los atacantes es atacar a los usuarios ubicados en Brasil. Se encontraron otros paquetes en ingl\u00e9s, por lo que tambi\u00e9n podr\u00edan estar detr\u00e1s de usuarios de otros pa\u00edses.<\/p>\n Descripci\u00f3n de uno de los paquetes infectados llamado \u201cproc-title\u201d (Traducci\u00f3n del portugu\u00e9s: Este paquete escribe correctamente en may\u00fasculas tus t\u00edtulos siguiendo el manual de estilo de Chicago)<\/p><\/div>\n Sin embargo, estos paquetes, conten\u00edan un confuso c\u00f3digo malicioso en JavaScript y Python. Esto hizo que al ser subidos al repositorio fueran m\u00e1s dif\u00edciles de analizar. El cargamento malicioso se conformaba por un malware <\/em>escrito en Python denominado Volt Stealer, un script <\/em>malicioso de c\u00f3digo abierto, y un malware<\/em> de JavaScript denominado Lofy Stealer, cuyas caracter\u00edsticas son numerosas.<\/p>\n Se utiliz\u00f3 Volt Stealer para robar tokens de Discord de los dispositivos infectados junto con las direcciones IP de las v\u00edctimas y cargarlos mediante HTTP. Lofy Stealer, la m\u00e1s reciente creaci\u00f3n de los atacantes, puede infectar archivos del cliente de Discord y monitorizar las acciones de las v\u00edctimas, detectando cu\u00e1ndo el usuario inicia sesi\u00f3n, cambia de correo electr\u00f3nico registrado o de contrase\u00f1a, habilita o deshabilita la autenticaci\u00f3n multifactor y cu\u00e1ndo introduce un m\u00e9todo de pago nuevo (en cuyo caso roba los datos completos de la tarjeta de cr\u00e9dito). Y finalmente carga la informaci\u00f3n recopilada en el endpoint <\/em>remoto.<\/p>\n Los repositorios de c\u00f3digo abierto permiten que cualquier persona publique sus propios paquetes, pero no necesariamente son del todo seguros. Por ejemplo, los atacantes pueden imitar los paquetes npm m\u00e1s populares al cambiar una o dos letras del nombre para enga\u00f1ar a los usuarios y hacerles creer que est\u00e1n descargando el paquete original. Por tanto, la recomendaci\u00f3n es estar alerta y no dar por hecho que los paquetes son confiables.<\/p>\n Por lo general, los entornos de desarrollo o construcci\u00f3n son objetivos ideales para que los atacantes intenten organizar ataques a la cadena de suministro. Esto quiere decir que dichos entornos deben contar con una fuerte protecci\u00f3n antimalware <\/em>como Kaspersky Hybrid Cloud Security<\/a>. Nuestros productos detectan exitosamente el ataque LofyLife con los fallos HEUR:Trojan.Script.Lofy.gen y Trojan.Python.Lofy.a.<\/p>\nBueno, \u00bfy qu\u00e9 es LofyLife?<\/h2>\n
![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2022\/08\/10135811\/lofylife-malicious-packages-in-npm-repository-proc-title.jpg\")
C\u00f3mo protegerse de los paquetes maliciosos<\/h2>\n
![\"Aumenta](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2020\/04\/15080644\/human-factor-weakest-link-desktop-latam.png\")
<\/p>\n