Investigadores de ciberseguridad han descubierto cuatro paquetes NuGet maliciosos diseñados para atacar a los desarrolladores de aplicaciones web ASP.NET y robar datos confidenciales.
La campaña, descubierto por zócaloexfiltra Datos de identidad ASP.NETincluidas cuentas de usuario, asignaciones de roles y asignaciones de permisos, además de manipular reglas de autorización para crear puertas traseras persistentes en las aplicaciones de las víctimas.
Los nombres de los paquetes se enumeran a continuación:
- NCryptYo
- DOMOAuth2_
- IRAOAuth2.0
- escritor_simple_
Los paquetes NuGet fueron publicados en el repositorio entre el 12 y el 21 de agosto de 2024 por un usuario llamado hamzazaheer. Desde entonces, fueron eliminados del repositorio tras una divulgación responsable, no sin antes atraer más de 4.500 descargas.
Según la empresa de seguridad de la cadena de suministro de software, NCryptYo actúa como un cuentagotas de primera etapa que establece un proxy local en localhost:7152 que retransmite el tráfico a un servidor de comando y control (C2) controlado por el atacante cuya dirección se recupera dinámicamente en tiempo de ejecución. Vale la pena señalar que NCryptYo intenta hacerse pasar por el paquete NCrypto legítimo.
DOMOAuth2_ e IRAOAuth2.0 roban datos de identidad y aplicaciones de puerta trasera, mientras que SimpleWriter_ presenta escritura de archivos incondicional y capacidades de ejecución de procesos ocultos mientras se presenta como una utilidad de conversión de PDF. Un análisis de los metadatos del paquete ha revelado entornos de construcción idénticos, lo que indica que la campaña es obra de un único actor de amenazas.
«NCryptYo es un cuentagotas de ejecución bajo carga de etapa 1», dijo el investigador de seguridad Kush Pandya. «Cuando se carga el ensamblado, su constructor estático instala ganchos del compilador JIT que descifran las cargas útiles integradas e implementan un binario de etapa 2: un proxy de host local en el puerto 7152 que retransmite el tráfico entre los paquetes complementarios y el servidor C2 externo del atacante, cuya dirección se resuelve dinámicamente en tiempo de ejecución».
Una vez que el proxy está activo, DOMOAuth2_ e IRAOAuth2.0 comienzan a transmitir los datos de identidad ASP.NET a través del proxy local a la infraestructura externa. El servidor C2 responde con reglas de autorización que luego la aplicación procesa para crear una puerta trasera persistente otorgándose roles de administrador, modificando los controles de acceso o deshabilitando los controles de seguridad. SimpleWriter_, por su parte, escribe contenido controlado por el actor de amenazas en el disco y ejecuta el binario eliminado con ventanas ocultas.
No está exactamente claro cómo se engaña a los usuarios para que descarguen estos paquetes, ya que la cadena de ataque se activa sólo después de que los cuatro estén instalados.
«El objetivo de la campaña no es comprometer directamente la máquina del desarrollador, sino comprometer las aplicaciones que construyen», explicó Pandya. «Al controlar la capa de autorización durante el desarrollo, el actor de amenazas obtiene acceso a las aplicaciones de producción implementadas».
«Cuando la víctima implementa su aplicación ASP.NET con dependencias maliciosas, la infraestructura C2 permanece activa en producción, exfiltrando continuamente datos de permisos y aceptando reglas de autorización modificadas. El actor de amenazas o un comprador puede entonces otorgarse acceso de nivel de administrador a cualquier instancia implementada».
La divulgación se produce cuando Tenable reveló detalles de un paquete npm malicioso llamado ambar-src que acumuló más de 50.000 descargas antes de ser eliminado del registro de JavaScript. Se subió a npm el 13 de febrero de 2026.
El paquete hace uso de npm gancho de script de preinstalación para desencadenar la ejecución de código malicioso contenido en index.js durante su instalación. El malware está diseñado para ejecutar un comando de una sola línea que obtiene diferentes cargas útiles del dominio «x-ya[.]ru» según el sistema operativo –
- En Windows, descarga y ejecuta un archivo llamado msinit.exe que contiene un código shell cifrado, que se decodifica y se carga en la memoria.
- En Linux, busca un script bash y lo ejecuta. Luego, el script bash recupera otra carga útil del mismo servidor, un binario ELF que funciona como un Cliente de shell inverso basado en SSH.
- En macOS, recupera otro script que usa osascript para ejecutar JavaScript responsable de eliminar Apfell, un agente de JavaScript para automatización (JXA) que forma parte del marco Mythic C2 y que puede realizar reconocimientos, recopilar capturas de pantalla, robar datos de Google Chrome y capturar contraseñas del sistema mostrando un mensaje falso.
«Emplea múltiples técnicas para evadir la detección y lanza malware de código abierto con capacidades avanzadas, dirigido a desarrolladores en hosts Windows, Linux y macOS», la compañía dicho.
Una vez que se recopilan los datos, se los filtra al atacante a un dominio de Yandex Cloud en un esfuerzo por mezclarse con el tráfico legítimo y aprovechar el hecho de que es menos probable que los servicios confiables sean bloqueados dentro de las redes corporativas.
Se considera que Ambar-src es una variante más madura de eslint-verify-plugin, otro paquete npm fraudulento que JFrog señaló recientemente por eliminar los agentes Mythic Poseidon y Apfell en sistemas Linux y macOS.
«Si este paquete está instalado o ejecutándose en una computadora, ese sistema debe considerarse completamente comprometido», dijo Tenable. «Si bien el paquete debe eliminarse, tenga en cuenta que debido a que una entidad externa puede haber obtenido el control total de la computadora, eliminar el paquete no garantiza la eliminación de todo el software malicioso resultante».
