Seg\u00fan algunas estimaciones<\/a>, el 97 % del c\u00f3digo de las aplicaciones web modernas proviene de m\u00f3dulos npm. Sin embargo, su popularidad y la libertad y facilidad de cargar cualquier paquete tambi\u00e9n atrae de forma inevitable a los ciberdelincuentes. Por ejemplo, en 2021, unos desconocidos atacantes comprometieron<\/a> varias versiones de una popular biblioteca de JavaScript, UAParser.js, insertando c\u00f3digo malicioso. Esta biblioteca se descargaba de 6 a 8 millones de veces por semana. Al infectarla, los ciberdelincuentes pudieron extraer criptomonedas y robar informaci\u00f3n confidencial, como las cookies<\/em> del navegador, las contrase\u00f1as y credenciales de los sistemas operativos de los dispositivos infectados.<\/p>\n Y aqu\u00ed va un ejemplo m\u00e1s reciente: el 26 de julio de 2022, nuestros investigadores descubrieron una nueva amenaza<\/a> que apareci\u00f3 en el repositorio npm de c\u00f3digo abierto a la que llamaron LofyLife.<\/p>\n Nuestros investigadores identificaron la campa\u00f1a maliciosa LofyLife usando un sistema automatizado interno para monitorizar repositorios de c\u00f3digo abierto. La campa\u00f1a us\u00f3 cuatro paquetes maliciosos que difundieron el malware<\/em> Volt Stealer y Lofy Stealer en el repositorio npm para recopilar informaci\u00f3n diversa de las v\u00edctimas (entre la que se incluyen los tokens de Discord y los datos de las tarjetas de cr\u00e9dito vinculadas) y espiarlas despu\u00e9s.<\/p>\n Los paquetes maliciosos identificados parec\u00edan usarse para tareas ordinarias, como formatos de titulares o ciertas funciones de algunos juegos. Las descripciones de los paquetes estaban incompletas y, por lo general, parece que los atacantes no emplearon demasiado esfuerzo en ellos. Sin embargo, el paquete de \u201cformato de titulares\u201d estaba en portugu\u00e9s brasile\u00f1o con el hashtag<\/em> #brazil, lo que sugiere que el objetivo de los atacantes es atacar a los usuarios que se encuentran en Brasil. Se encontraron otros paquetes en ingl\u00e9s, por lo que tambi\u00e9n podr\u00edan estar dirigidos a usuarios de otros pa\u00edses.<\/p>\n Descripci\u00f3n de uno de los paquetes infectados llamado \u201cproc-title\u201d (Traducci\u00f3n del portugu\u00e9s: Este paquete escribe correctamente en may\u00fasculas tus t\u00edtulos siguiendo el manual de estilo de Chicago)<\/p><\/div>\n Sin embargo, estos paquetes, conten\u00edan un confuso c\u00f3digo malicioso en JavaScript y Python. Esto hizo que fueran m\u00e1s dif\u00edciles de analizar cuando se sub\u00edan al repositorio. El cargamento malicioso estaba formado por un malware <\/em>escrito en Python denominado Volt Stealer, un script <\/em>malicioso de c\u00f3digo abierto, y un malware<\/em> de JavaScript denominado Lofy Stealer, que tiene numerosas caracter\u00edsticas.<\/p>\n Volt Stealer se utiliz\u00f3 para robar tokens de Discord de los dispositivos infectados junto con las direcciones IP de las v\u00edctimas y cargarlos mediante HTTP. Lofy Stealer, una nueva creaci\u00f3n de los atacantes, puede infectar los archivos del cliente de Discord y monitorizar las acciones de las v\u00edctimas, detectando cu\u00e1ndo un usuario inicia sesi\u00f3n, cambia el correo electr\u00f3nico registrado o la contrase\u00f1a, habilita o deshabilita la autenticaci\u00f3n multifactor y cu\u00e1ndo introduce un nuevo m\u00e9todo de pago (en cuyo caso roba los datos completos de la tarjeta de cr\u00e9dito). Y finalmente carga la informaci\u00f3n recopilada en el endpoint <\/em>remoto.<\/p>\n Los repositorios de c\u00f3digo abierto permiten que cualquier persona publique sus propios paquetes, pero no todos son completamente seguros. Por ejemplo, los atacantes pueden imitar los paquetes npm m\u00e1s populares cambiando una o dos letras del nombre para enga\u00f1ar a los usuarios haci\u00e9ndoles creer que se est\u00e1n descargando el paquete original. Por lo tanto, recomendamos estar alerta y no dar por hecho que los paquetes son de confianza.<\/p>\n En general, los entornos de desarrollo o construcci\u00f3n son objetivos ideales para los atacantes que intentan organizar ataques a la cadena de suministro. Eso significa que dichos entornos deben contar con una fuerte protecci\u00f3n antimalware <\/em>como Kaspersky Hybrid Cloud Security<\/a>. Nuestros productos detectan con \u00e9xito el ataque LofyLife con los fallos HEUR:Trojan.Script.Lofy.gen y Trojan.Python.Lofy.a.<\/p>\nBueno, \u00bfy qu\u00e9 es LofyLife?<\/h2>\n
![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2022\/08\/04081244\/lofylife-malicious-packages-in-npm-repository-proc-title.jpg\")
C\u00f3mo protegerse de los paquetes maliciosos<\/h2>\n