{"id":107,"date":"2026-03-02T10:48:47","date_gmt":"2026-03-02T10:48:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/02\/hackers-norcoreanos-publican-paquetes-de-26-npm-que-ocultan-pastebin-c2-para-rat-multiplataforma-cyberdefensa-mx\/"},"modified":"2026-03-02T10:48:47","modified_gmt":"2026-03-02T10:48:47","slug":"hackers-norcoreanos-publican-paquetes-de-26-npm-que-ocultan-pastebin-c2-para-rat-multiplataforma-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/02\/hackers-norcoreanos-publican-paquetes-de-26-npm-que-ocultan-pastebin-c2-para-rat-multiplataforma-cyberdefensa-mx\/","title":{"rendered":"Hackers norcoreanos publican paquetes de 26 npm que ocultan Pastebin C2 para RAT multiplataforma \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los investigadores de ciberseguridad han revelado una nueva iteraci\u00f3n de la actual campa\u00f1a Contagious Interview, donde los actores de amenazas norcoreanos han publicado un conjunto de 26 paquetes maliciosos en el registro npm.<\/p>\n<p>Los paquetes se hacen pasar por herramientas de desarrollador, pero contienen funcionalidad para extraer el comando y control real (C2) mediante el uso de contenido aparentemente inofensivo de Pastebin como un solucionador de ca\u00eddas y, en \u00faltima instancia, eliminan un ladr\u00f3n de credenciales y un troyano de acceso remoto dirigidos a desarrolladores. La infraestructura C2 est\u00e1 alojada en Vercel en 31 implementaciones.<\/p>\n<p>El <a href=\"https:\/\/kmsec.uk\/blog\/dprk-text-steganography\/\" rel=\"noopener\" target=\"_blank\">campa\u00f1a<\/a>rastreado por Socket y Kieran Miyamoto de kmsec.uk est\u00e1 siendo rastreado bajo el apodo <strong>StegaBin<\/strong>.<\/p>\n<p>\u00abEl cargador extrae URL C2 codificadas esteganogr\u00e1ficamente dentro de tres pastas de Pastebin, ensayos inform\u00e1ticos inofensivos en los que los caracteres en posiciones uniformemente espaciadas han sido reemplazados para deletrear direcciones de infraestructura ocultas\u00bb, los investigadores de Socket Philipp Burckhardt y Peter van der Zee <a href=\"https:\/\/socket.dev\/blog\/stegabin-26-malicious-npm-packages-use-pastebin-steganography\" rel=\"noopener\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>La lista de paquetes npm maliciosos es la siguiente:<\/p>\n<ul>\n<li>argonista@0.41.0<\/li>\n<li>bcryptance@6.5.2<\/li>\n<li>abeja-quarl@2.1.2<\/li>\n<li>n\u00facleo de burbuja@6.26.2<\/li>\n<li>corstoken@2.14.7<\/li>\n<li>daytonjs@1.11.20<\/li>\n<li>ether-lint@5.9.4<\/li>\n<li>expressjs-lint@5.3.2<\/li>\n<li>fastify-lint@5.8.0<\/li>\n<li>formmiderable@3.5.7<\/li>\n<li>hapi-lint@19.1.2<\/li>\n<li>iosysredis@5.13.2<\/li>\n<li>jslint-config@10.22.2<\/li>\n<li>jsnwebapptoken@8.40.2<\/li>\n<li>kafkajs-lint@2.21.3<\/li>\n<li>loadash-lint@4.17.24<\/li>\n<li>mqttoken@5.40.2<\/li>\n<li>prisma-lint@7.4.2<\/li>\n<li>promanage@6.0.21<\/li>\n<li>secuela@6.40.2<\/li>\n<li>tiporiem@0.4.17<\/li>\n<li>undicy-lint@7.23.1<\/li>\n<li>uuindex@13.1.0<\/li>\n<li>vitetest-lint@4.1.21<\/li>\n<li>windowston@3.19.2<\/li>\n<li>zoddle@4.4.2<\/li>\n<\/ul>\n<p>Todos los paquetes identificados vienen con un script de instalaci\u00f3n (\u00abinstall.js\u00bb) que se ejecuta autom\u00e1ticamente durante la instalaci\u00f3n del paquete, que, a su vez, ejecuta la carga \u00fatil maliciosa ubicada en \u00abvendor\/scrypt-js\/version.js\u00bb. Otro aspecto com\u00fan que une a los 26 paquetes es que declaran expl\u00edcitamente el paquete leg\u00edtimo que est\u00e1n escribiendo como una dependencia, probablemente en un intento de hacerlos parecer cre\u00edbles.<\/p>\n<p>La carga \u00fatil sirve como un decodificador de esteganograf\u00eda de texto al contactar una URL de Pastebin y extraer su contenido para recuperar las URL C2 Vercel reales. Si bien los pegados aparentemente contienen un ensayo benigno sobre inform\u00e1tica, el decodificador est\u00e1 dise\u00f1ado para observar caracteres espec\u00edficos en ciertas posiciones del texto y unirlos para crear una lista de dominios C2.<\/p>\n<p>\u00abEl decodificador elimina los caracteres Unicode de ancho cero, lee un marcador de longitud de 5 d\u00edgitos desde el principio, calcula las posiciones de los caracteres espaciados uniformemente a lo largo del texto y extrae los caracteres en esas posiciones\u00bb, dijo Socket. \u00abLos caracteres extra\u00eddos luego se dividen en un separador ||| (con un marcador de terminaci\u00f3n ===END===) para producir una matriz de nombres de dominio C2\u00bb.<\/p>\n<p>Luego, el malware llega al dominio decodificado para recuperar cargas \u00fatiles espec\u00edficas de la plataforma para Windows, macOS y Linux, una t\u00e1ctica ampliamente observada en la campa\u00f1a Contagious Interview. Uno de esos dominios, \u00abext-checkdin.vercel[.]app\u00bb sirve un script de shell, que luego contacta la misma URL para recuperar un componente RAT.<\/p>\n<p>El troyano se conecta a 103.106.67[.]63:1244 a esperar m\u00e1s instrucciones que le permitan cambiar el directorio actual y ejecutar comandos de shell, a trav\u00e9s de los cuales se implementa un conjunto integral de recopilaci\u00f3n de inteligencia. Contiene nueve m\u00f3dulos para facilitar la persistencia de Microsoft Visual Studio Code (VS Code), el registro de teclas y el robo del portapapeles, la recolecci\u00f3n de credenciales del navegador, el escaneo de secretos de TruffleHog y el repositorio Git y la filtraci\u00f3n de claves SSH.<\/p>\n<ul>\n<li><strong>vs<\/strong>que utiliza un archivo task.json malicioso para contactar un dominio de Vercel cada vez que se abre un proyecto en VS Code aprovechando el disparador runOn: \u00abfolderOpen\u00bb. El m\u00f3dulo escanea espec\u00edficamente el directorio de configuraci\u00f3n de VS Code de la v\u00edctima en las tres plataformas y escribe el archivo task.json malicioso directamente en \u00e9l.<\/li>\n<li><strong>acortar<\/strong>que act\u00faa como registrador de teclas, rastreador de mouse y ladr\u00f3n de portapapeles con soporte para seguimiento activo de ventanas y realiza filtraciones peri\u00f3dicas cada 10 minutos.<\/li>\n<li><strong>hermano<\/strong>que es una carga \u00fatil de Python para robar almacenes de credenciales del navegador.<\/li>\n<li><strong>j<\/strong>que es un m\u00f3dulo de Node.js utilizado para el robo de navegadores y criptomonedas dirigido a Google Chrome, Brave, Firefox, Opera y Microsoft Edge, y extensiones como MetaMask, Phantom, Coinbase Wallet, Binance, Trust, Exodus y Keplr, entre otras. En macOS, tambi\u00e9n apunta al llavero de iCloud.<\/li>\n<li><strong>z<\/strong>que enumera el sistema de archivos y roba archivos que coinciden con ciertos patrones predefinidos.<\/li>\n<li><strong>norte<\/strong>que act\u00faa como RAT para otorgar al atacante la capacidad de controlar de forma remota el host infectado en tiempo real a trav\u00e9s de una conexi\u00f3n WebSocket persistente a 103.106.67[.]63:1247 y exfiltrar datos de inter\u00e9s a trav\u00e9s de FTP.<\/li>\n<li><strong>trufa<\/strong>que descarga el leg\u00edtimo <a href=\"https:\/\/github.com\/trufflesecurity\/trufflehog\" rel=\"noopener\" target=\"_blank\">Esc\u00e1ner de secretos de TruffleHog<\/a> desde la p\u00e1gina oficial de GitHub para descubrir y filtrar los secretos de los desarrolladores.<\/li>\n<li><strong>git<\/strong>que recopila archivos de directorios .ssh, extrae credenciales de Git y escanea repositorios.<\/li>\n<li><strong>programado<\/strong>que es lo mismo que \u00abvendor\/scrypt-js\/version.js\u00bb y se vuelve a implementar como mecanismo de persistencia.<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fs-report-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjWQgUDT06NQu9vGMPC7BWROmJABTIWg058l7oGKD-v3ZchC8_66xjbclOE9koChsRf5CEKgqrXTVrne_00PdGokh3brhvF-g33I4FYYpTukrvuNQWXZOVAfon6-2axyRoVJ4uOrXPqRhxfZUaJWEm-K9esUS3ql8VSVWAKLqyfhHLgMSXhkMTkcOtGSX7R\/s728-e100\/fs-report-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abMientras que las oleadas anteriores de la campa\u00f1a Contagious Interview se basaban en scripts maliciosos relativamente sencillos y cargas \u00fatiles alojadas en Bitbucket, esta \u00faltima iteraci\u00f3n demuestra un esfuerzo concertado para evitar tanto la detecci\u00f3n automatizada como la revisi\u00f3n humana\u00bb, concluy\u00f3 Socket.<\/p>\n<p>\u00abEl uso de esteganograf\u00eda a nivel de personaje en Pastebin y el enrutamiento Vercel de m\u00faltiples etapas apunta a un adversario que est\u00e1 refinando sus t\u00e9cnicas de evasi\u00f3n e intentando hacer sus operaciones m\u00e1s resistentes\u00bb.<\/p>\n<p>La divulgaci\u00f3n se produce cuando tambi\u00e9n se ha observado que los actores norcoreanos publican paquetes npm maliciosos (por ejemplo, express-core-validator) para recuperar una carga \u00fatil de JavaScript de la siguiente etapa alojada en Google Drive.<\/p>\n<p>\u00abS\u00f3lo se ha publicado un paquete con esta nueva t\u00e9cnica\u00bb, Miyamoto <a href=\"https:\/\/kmsec.uk\/blog\/dprk-gdrive-stager\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. \u00abEs probable que FAMOUS CHOLLIMA contin\u00fae aprovechando m\u00faltiples t\u00e9cnicas e infraestructura para entregar cargas \u00fatiles de seguimiento. Es poco probable que esto indique una revisi\u00f3n completa de su comportamiento de etapa en npm\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han revelado una nueva iteraci\u00f3n de la actual campa\u00f1a Contagious Interview, donde los actores de amenazas norcoreanos han publicado un conjunto de 26 paquetes maliciosos en el registro npm. Los paquetes se hacen pasar por herramientas de desarrollador, pero contienen funcionalidad para extraer el comando y control real (C2) mediante el [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[24,273,280,274,277,278,276,36,279,275,209],"class_list":["post-107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cyberdefensa-mx","tag-hackers","tag-multiplataforma","tag-norcoreanos","tag-npm","tag-ocultan","tag-paquetes","tag-para","tag-pastebin","tag-publican","tag-rat"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=107"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/107\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}