Los investigadores de ciberseguridad han descubierto cuatro paquetes NuGet maliciosos diseñados para que los desarrolladores de aplicaciones web de ASP.NET roben datos confidenciales.
La campaña, descubierto por Socket , exfiltra Datos de identidad de ASP.NET , incluidas las cuentas de usuario, las asignaciones de funciones y las asignaciones de permisos, además de manipular las reglas de autorización para crear puertas traseras persistentes en las aplicaciones de las víctimas.
Los nombres de los paquetes se enumeran a continuación:
- nCrypto
- DomoAuth2_
- iRAO Auth 2.0
- SimpleWriter_
Los paquetes NuGet fueron publicados en el repositorio entre el 12 y el 21 de agosto de 2024 por un usuario llamado hamzazaheer . Desde entonces, se han retirado del repositorio tras una divulgación responsable, pero no sin antes conseguir más de 4.500 descargas.
adsenseSegún la empresa de seguridad de la cadena de suministro de software, nCryptYo actúa como un dropper de primera etapa que establece un proxy local en localhost:7152 que retransmite el tráfico a un servidor de comando y control (C2) controlado por un atacante cuya dirección se recupera dinámicamente en tiempo de ejecución. Vale la pena señalar que nCryptYo intenta hacerse pasar por el paquete legítimo de NCrypto.
DomoAuth2_ e IRAOAuth2.0 roban datos de identidad y aplicaciones de puerta trasera, mientras que SimpleWriter_ presenta capacidades de escritura incondicional de archivos y ejecución de procesos ocultos, a la vez que se presenta como una utilidad de conversión de PDF. Un análisis de los metadatos de los paquetes ha revelado entornos de construcción idénticos, lo que indica que la campaña es obra de un único actor de amenazas.
«nCryptyo es un programa de ejecución bajo carga de primera fase», afirma el investigador de seguridad Kush Pandya. «Cuando se carga el ensamblaje, su constructor estático instala ganchos de compilación JIT que descifran las cargas útiles integradas e implementan un binario de fase 2: un proxy de host local en el puerto 7152 que retransmite el tráfico entre los paquetes complementarios y el servidor C2 externo del atacante, cuya dirección se resuelve dinámicamente en tiempo de ejecución».
Una vez que el proxy está activo, DomoAuth2_ e IRAOAuth2.0 comienzan a transmitir los datos de identidad de ASP.NET a través del proxy local a la infraestructura externa. El servidor C2 responde con reglas de autorización que, a continuación, la aplicación procesa para crear una puerta trasera persistente. Para ello, se asigna funciones de administrador, modifica los controles de acceso o desactiva las comprobaciones de seguridad. SimpleWriter_, por su parte, graba en el disco el contenido controlado por los actores de amenazas y ejecuta el binario eliminado con ventanas ocultas.
No está del todo claro cómo se engaña a los usuarios para que descarguen estos paquetes, ya que la cadena de ataque solo se activa después de que los cuatro estén instalados.
«El objetivo de la campaña no es comprometer directamente la máquina del desarrollador, sino comprometer las aplicaciones que crean», explicó Pandya. «Al controlar el nivel de autorización durante el desarrollo, el autor de la amenaza obtiene acceso a las aplicaciones de producción implementadas».
«Cuando la víctima implementa su aplicación ASP.NET con dependencias maliciosas, la infraestructura C2 permanece activa en producción, extrayendo continuamente los datos de permisos y aceptando las reglas de autorización modificadas. El autor de la amenaza o el comprador pueden entonces concederse un acceso de nivel de administrador a cualquier instancia implementada».
La revelación se produce cuando Tenable divulgó detalles de un paquete npm malicioso llamado ambar-src que acumuló más de 50 000 descargas antes de ser eliminado del registro de JavaScript. Se subió a npm el 13 de febrero de 2026.
El paquete hace uso de npm preinstalar script hook para activar la ejecución de código malintencionado contenido en index.js durante su instalación. El malware está diseñado para ejecutar un comando de una sola línea que obtiene diferentes cargas útiles del dominio «x-ya [.] ru» según el sistema operativo -
- En Windows, descarga y ejecuta un archivo llamado msinit.exe que contiene un código shell cifrado, que se decodifica y se carga en la memoria.
- En Linux, obtiene un script bash y lo ejecuta. A continuación, el script bash recupera otra carga útil del mismo servidor, un binario ELF que funciona como Cliente de shell inverso basado en SSH .
- En macOS, busca otro script que usa osascript para ejecutar JavaScript, responsable de eliminar Apfell, un agente de JavaScript for Automation (JXA) que forma parte del marco Mythic C2 y que puede realizar reconocimientos, recopilar capturas de pantalla, robar datos de Google Chrome y capturar contraseñas del sistema mostrando un mensaje falso.
«Emplea múltiples técnicas para evadir la detección y elimina el malware de código abierto con capacidades avanzadas, dirigido a desarrolladores en hosts de Windows, Linux y macOS», dijo la empresa dijo .
Una vez que se recopilan los datos, el atacante los filtra a un dominio de Yandex Cloud con el fin de mezclarse con el tráfico legítimo y aprovechar el hecho de que es menos probable que los servicios confiables se bloqueen en las redes corporativas.
Se considera que Ambar-SRC es una variante más madura de complemento de verificación de eslin , otro paquete npm fraudulento que JFrog recientemente señaló que dejaba caer a los míticos agentes Poseidón y Apfell en los sistemas Linux y macOS.
«Si este paquete está instalado o ejecutándose en una computadora, ese sistema debe considerarse totalmente comprometido», dijo Tenable. «Si bien el paquete debe eliminarse, tenga en cuenta que, dado que una entidad externa puede haber obtenido el control total de la computadora, eliminar el paquete no garantiza la eliminación de todo el software malintencionado resultante».
Fuentes de Información: THEHACKERNEWS