El equipo de investigación de amenazas de Socket ha descubierto un paquete malicioso de npm llamado “ethereumvulncontracthandler”. Este paquete se hace pasar por una herramienta de detección de vulnerabilidades en contratos inteligentes de Ethereum, pero en realidad está desplegando un troyano de acceso remoto (RAT) Quasar en los dispositivos de los desarrolladores. Este troyano no solo tiene funciones de acceso remoto, sino que también ofrece operaciones maliciosas como keylogging, captura de pantalla, recolección de certificados y robo de archivos.
Los atacantes utilizan técnicas como la codificación Base64 y XOR para asegurar la persistencia y la resistencia a la detección del paquete malicioso durante su propagación, con el objetivo de aumentar la complejidad del análisis y evitar ser descubierto. Además, el malware también verifica la memoria RAM del sistema para determinar si se está ejecutando en un entorno restringido, evitando su ejecución en entornos de análisis automatizados. La Figura 1 muestra un fragmento del malware utilizando diversas técnicas de ofuscación.
Figura 1: ethereumvulncontracthandler utilizando diversas técnicas de ofuscación. Fuente: Socket.
Una vez que la víctima instala este paquete malicioso de npm, se descarga una segunda carga útil desde un servidor remoto (“jujuju[.]lat”). Este script ejecuta comandos de PowerShell y activa el troyano Quasar RAT instalado en el dispositivo de la víctima. Una vez que el troyano se ha infiltrado con éxito, se renombra a sí mismo como “client.exe” para asegurarse de que siga funcionando después de reiniciar el sistema. Con el Quasar RAT en funcionamiento, los atacantes pueden robar datos a través de un servidor C2 ubicado en captchacdn[.]com:7000, al mismo tiempo que monitorean y administran múltiples dispositivos infectados.
Los grupos de hackers están utilizando a los desarrolladores como medio para sus ataques, por lo que es importante tener precaución al descargar y utilizar herramientas de código abierto, especialmente aquellas de fuentes no verificadas. También es recomendable monitorear constantemente el tráfico de red y las modificaciones de archivos para detectar tempranamente un entorno infectado.
En resumen, es crucial estar siempre alerta y tomar medidas preventivas para protegerse de amenazas como esta. Los desarrolladores deben ser especialmente cautelosos al descargar y utilizar herramientas de terceros, y estar atentos a cualquier actividad sospechosa en sus dispositivos. Juntos, podemos trabajar para mantener nuestras redes y sistemas seguros y protegidos contra ataques maliciosos.