Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vulneran jscrambler para atacar a desarrolladores


Se ha detectado un ataque de cadena de suministro en el paquete npm jscrambler, una herramienta de protección de código JavaScript con más de 15.800 descargas semanales. El equipo de Socket Research identificó que versiones maliciosas instalaban silenciosamente malware nativo en sistemas Windows, macOS y Linux, siendo la primera versión comprometida la 8.14.0, detectada el 11 de julio de 2026.





Un ataque a la cadena de suministro en el paquete npm jscrambler, una herramienta de protección de código JavaScript con más de 15.800 descargas semanales, involucró versiones maliciosas que desplegaron silenciosamente malware nativo en sistemas Linux, macOS y Windows.

El equipo de investigación de Socket detectó el primer lanzamiento malicioso, jscrambler@8.14.0, el 11 de julio de 2026, solo seis minutos después de su publicación.

El lanzamiento comprometido añadió un script de preinstalación no documentado, provocando que el código malicioso se ejecutara automáticamente cuando un desarrollador ejecutaba npm install. Las víctimas no necesitaban importar el paquete ni ejecutar su herramienta de línea de comandos para que se lanzara la carga útil.

El ataque afectó a las versiones 8.14.0, 8.16.0, 8.17.0, 8.18.0 y 8.20.0. Jscrambler confirmó más tarde que un atacante utilizó una credencial de publicación de npm para subir los lanzamientos no autorizados.

La empresa revocó y rotó las credenciales de publicación, marcó como obsoletas las versiones afectadas y lanzó la versión limpia 8.22.0.

Comprometen el paquete jscrambler

En los primeros lanzamientos maliciosos, los atacantes insertaron un gancho (hook) de preinstalación que ejecutaba dist/setup.js. Este cargador leía un contenedor binario disfrazado llamado dist/intro.js, seleccionaba una carga útil basada en el sistema operativo de la víctima y la escribía en un archivo temporal oculto.

Después, iniciaba el ejecutable en segundo plano sin mostrar salida ni requerir interacción del usuario. El contenedor albergaba tres binarios basados en Rust: un archivo ELF de Linux, un ejecutable PE de Windows y un binario Mach-O de Apple Silicon para macOS.

A partir de la versión 8.18.0, los atacantes eliminaron el gancho de instalación e inyectaron el mismo cargador en los archivos JavaScript principales del paquete.

Esto permitió que el malware se ejecutara cuando una aplicación importaba jscrambler o cuando se ejecutaba su CLI, evadiendo los controles centrados únicamente en los scripts del ciclo de vida de npm.

Según el equipo de investigación de Socket, el malware fue diseñado para robar credenciales de desarrolladores y de la nube de alto valor, dirigiéndose a datos del navegador, billeteras de criptomonedas, sesiones de Discord, Slack, Telegram, Steam, tokens de la nube y llaveros locales del sistema operativo.

También buscaba archivos de configuración utilizados por herramientas de codificación de IA, incluyendo Claude Desktop, Cursor, Windsurf, VS Code, Zed y configuraciones de servidor MCP, que pueden contener claves API y detalles de conexión sensibles.

La carga útil también intentó acceder a credenciales de AWS, Google Cloud y Microsoft Azure. Incluía referencias a puntos finales de metadatos de la nube, servicios de gestión de secretos, APIs de Kubernetes y entornos de despliegue.

Esto representa un riesgo grave para ti si eres desarrollador de software, ya que los sistemas de compilación y los pipelines de CI a menudo contienen código fuente, claves de firma, tokens de despliegue y credenciales de producción.

Para ralentizar el análisis, el malware cifró algunas cadenas de configuración utilizando el cifrado ChaCha20-Poly1305. Los investigadores también identificaron código de red que parecía subir los datos robados a través de conexiones TLS cifradas, utilizando una solicitud HTTP multipart al punto final /upload.

Si perteneces a una organización, debes eliminar inmediatamente las versiones afectadas de jscrambler, auditar los registros de instalación de npm y de CI, y rotar las credenciales expuestas en los sistemas de desarrolladores y servidores de compilación impactados.

Debes actualizar a la versión limpia verificada 8.22.0 y revisar los archivos de bloqueo (lockfiles) en busca de referencias transitivas a versiones comprometidas.

El incidente resalta cómo una credencial de publicación de npm robada puede convertir una dependencia de desarrollador confiable en un punto de entrada eficaz para el robo de credenciales y el compromiso de la nube.

Indicadores de Compromiso

Tipo de IOCIndicador
Versiones Afectadasjscrambler 8.14.0, 8.16.0, 8.17.0, 8.18.0, 8.20.0
Versión Parcheadajscrambler 8.22.0
Gancho de Preinstalaciónpreinstall: node dist/setup.js
Archivos Soltadosdist/setup.js, dist/intro.js
SHA-256 del Cargadora742de963f14a92d24ebcbc7b44ac867e23a20d31d1b0094a13a4f83287f4e60
SHA-256 de la Carga Útila41a523ef9517aab37ed6eea0ec881821bdcb7aefcb5c5f603adc7907f868c86
SHA-256 de package.jsonbba32ddeab075a5e5015eec50f5d2af364c95b848732c714aea6b6baf78f49f0
SHA-256 Linux ELFfbbcf4d8f98168f78f5c0c47a9ae56d59ec8ac84a7c9ca6b797fedfb8d62d2bd
SHA-256 Windows PEb7ca95d1b23c8e67416a25cedf741de0917c2096bbc9d24649eea7853d054903
SHA-256 macOS Mach-Oc8fd47d36bdf7c825378593ab82ed8c24d1dc52e26b507812393e24e1d5201fd
Firma de Archivo1b 43 53 49 01 (\x1bCSI\x01)
Artefacto de EjecuciónEjecutable temporal oculto
Artefacto de ProcesoProceso spawn() desprendido
IOC de RedPOST /upload (multipart/form-data)
Metadatos de Nube169.254.169[.]254, 169.254.170[.]2, metadata.google.internal
Puntos Finales de Reconocimientocheck.torproject.org/api/ip, 1.1.1.1, 8.8.8.8

Nota: Las direcciones IP y los dominios han sido desactivados intencionalmente (ej. [.]) para evitar la resolución accidental o el enlace. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.



Fuentes:
https://cybersecuritynews.com/hackers-compromised-jscrambler/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.