{"id":495,"date":"2026-04-08T09:19:01","date_gmt":"2026-04-08T09:19:01","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/08\/hackers-norcoreanos-difunden-1-700-paquetes-maliciosos-entre-npm-pypi-go-y-rust-cyberdefensa-mx\/"},"modified":"2026-04-08T09:19:01","modified_gmt":"2026-04-08T09:19:01","slug":"hackers-norcoreanos-difunden-1-700-paquetes-maliciosos-entre-npm-pypi-go-y-rust-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/08\/hackers-norcoreanos-difunden-1-700-paquetes-maliciosos-entre-npm-pypi-go-y-rust-cyberdefensa-mx\/","title":{"rendered":"Hackers norcoreanos difunden 1.700 paquetes maliciosos entre npm, PyPI, Go y Rust \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>La persistente campa\u00f1a vinculada a Corea del Norte conocida como <strong>Entrevista contagiosa<\/strong> ha extendido sus tent\u00e1culos publicando paquetes maliciosos dirigidos a los ecosistemas Go, Rust y PHP.<\/p>\n<p>\u00abLos paquetes del actor de amenazas fueron dise\u00f1ados para hacerse pasar por herramientas de desarrollador leg\u00edtimas. [\u2026]mientras funcionan silenciosamente como cargadores de malware, extendiendo el manual establecido de Contagious Interview a una operaci\u00f3n coordinada de cadena de suministro entre ecosistemas\u00bb, dijo el investigador de seguridad de Socket Kirill Boychenko. <a href=\"https:\/\/socket.dev\/blog\/contagious-interview-campaign-spreads-across-5-ecosystems\">dicho<\/a> en un informe del martes.<\/p>\n<p>La lista completa de paquetes identificados es la siguiente:<\/p>\n<ul>\n<li>npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz<\/li>\n<li>PyPI: logutilkit, apachelicense, fluxhttp, licencia-utils-kit<\/li>\n<li>Ir: github[.]es\/golangorg\/formstash, github[.]es\/aokisasakidev\/mit-license-pkg<\/li>\n<li>\u00d3xido: rastro log<\/li>\n<li>Empaquetador: golangorg\/logkit<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-risk-report-inside-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWajeG0cdaapf1GKTZRUZUB7BzuYGegyw5k0eAorJXlmkFdYCCeLXXhXYJuXU9lWD33rV6rRnIyly3czoNfYifpxk1eGA5slItPmim3HkubXoQMgC4J7hdQPywxGbWq7Eqeff_o6s2Fq-WmSFd5guwdLn7IqpveMqULqtVnd-ndnljWYGj45EkMFB7m0qm\/s728-e100\/z-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Estos cargadores est\u00e1n dise\u00f1ados para recuperar cargas \u00fatiles de segunda etapa espec\u00edficas de la plataforma, que resultan ser una pieza de malware con capacidades de robo de informaci\u00f3n y troyano de acceso remoto (RAT). Se centra principalmente en recopilar datos de navegadores web, administradores de contrase\u00f1as y billeteras de criptomonedas.<\/p>\n<p>Sin embargo, una versi\u00f3n de Windows del malware entregada a trav\u00e9s de \u00ablicense-utils-kit\u00bb incorpora lo que Socket describe como un \u00abimplante completo posterior al compromiso\u00bb que est\u00e1 equipado para ejecutar comandos de shell, registrar pulsaciones de teclas, robar datos del navegador, cargar archivos, cerrar navegadores web, implementar AnyDesk para acceso remoto, crear un archivo cifrado y descargar m\u00f3dulos adicionales.<\/p>\n<p>\u00abEso hace que este grupo sea notable no s\u00f3lo por su alcance en todos los ecosistemas, sino tambi\u00e9n por la profundidad de la funcionalidad posterior al compromiso incorporada en al menos parte de la campa\u00f1a\u00bb, a\u00f1adi\u00f3 Boychenko.<\/p>\n<p>Lo que hace que el \u00faltimo conjunto de bibliotecas sea digno de menci\u00f3n es que el c\u00f3digo malicioso no se activa durante la instalaci\u00f3n, sino que est\u00e1 integrado en funciones aparentemente leg\u00edtimas que se alinean con el prop\u00f3sito anunciado del paquete. Por ejemplo, en el caso de \u00ablogtrace\u00bb, el c\u00f3digo est\u00e1 oculto dentro de \u00abLogger::trace(i32)\u00bb, un m\u00e9todo que probablemente no despertar\u00e1 sospechas en un desarrollador.<\/p>\n<p>La expansi\u00f3n de Contagious Interview en cinco ecosistemas de c\u00f3digo abierto es una se\u00f1al m\u00e1s de que la campa\u00f1a es una amenaza persistente a la cadena de suministro con buenos recursos y dise\u00f1ada para infiltrarse sistem\u00e1ticamente en estas plataformas como v\u00edas de acceso inicial para violar los entornos de los desarrolladores con fines de espionaje y ganancias financieras.<\/p>\n<p>En total, Socket dijo que ha identificado <a href=\"https:\/\/socket.dev\/supply-chain-attacks\/north-korea-s-contagious-interview-campaign\">m\u00e1s de 1.700 paquetes maliciosos<\/a> vinculado a la actividad desde principios de enero de 2025.<\/p>\n<p>El descubrimiento es parte de una campa\u00f1a m\u00e1s amplia de compromiso de la cadena de suministro de software emprendida por grupos de hackers norcoreanos. Esto incluye el envenenamiento del popular paquete npm de Axios para distribuir un implante llamado WAVESHAPER.V2 despu\u00e9s de tomar el control de la cuenta npm del mantenedor del paquete a trav\u00e9s de una campa\u00f1a de ingenier\u00eda social personalizada.<\/p>\n<p>El ataque se ha atribuido a un actor de amenazas con motivaci\u00f3n financiera conocido como UNC1069, que se superpone con BlueNoroff, Sapphire Sleet y Stardust Chollima. Security Alliance (SEAL), en un informe publicado hoy, dijo que bloque\u00f3 164 dominios vinculados a UNC1069 que se hac\u00edan pasar por servicios como Microsoft Teams y Zoom entre el 6 de febrero y el 7 de abril de 2026.<\/p>\n<p>\u00abUNC1069 opera campa\u00f1as de ingenier\u00eda social de baja presi\u00f3n durante varias semanas en Telegram, LinkedIn y Slack, ya sea haci\u00e9ndose pasar por contactos conocidos o marcas cre\u00edbles o aprovechando el acceso a cuentas individuales y de empresas previamente comprometidas, antes de entregar un enlace fraudulento a una reuni\u00f3n de Zoom o Microsoft Teams\u00bb, SEAL <a href=\"https:\/\/radar.securityalliance.org\/advisory-on-dprk-unc1069-fake-microsoft-teams-and-zoom-calls\/\">dicho<\/a>.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Estos enlaces de reuniones falsos se utilizan para servir se\u00f1uelos similares a ClickFix, lo que resulta en la ejecuci\u00f3n de malware que contacta a un servidor controlado por un atacante para robar datos y realizar actividades posteriores a la explotaci\u00f3n dirigidas en Windows, macOS y Linux.<\/p>\n<p>\u00abLos operadores deliberadamente no act\u00faan inmediatamente despu\u00e9s del acceso inicial. El implante queda inactivo o pasivo durante un per\u00edodo despu\u00e9s del compromiso\u00bb, a\u00f1adi\u00f3 SEAL. \u00abEl objetivo normalmente reprograma la llamada fallida y contin\u00faa con las operaciones normales, sin darse cuenta de que el dispositivo est\u00e1 comprometido. Esta paciencia extiende la ventana operativa y maximiza el valor extra\u00eddo antes de que se active cualquier respuesta al incidente\u00bb.<\/p>\n<p>En una declaraci\u00f3n compartida con The Hacker News, Microsoft dijo que los actores de amenazas norcoreanos con fines financieros est\u00e1n evolucionando activamente su conjunto de herramientas e infraestructura, utilizando dominios que se hacen pasar por instituciones financieras con sede en EE. UU. y aplicaciones de videoconferencia para ingenier\u00eda social.<\/p>\n<p>\u00abLo que estamos viendo constantemente es una evoluci\u00f3n continua en la forma en que operan los actores motivados financieramente y vinculados a la RPDC, cambios en las herramientas, la infraestructura y los objetivos, pero con una clara continuidad en el comportamiento y la intenci\u00f3n\u00bb, dijo Sherrod DeGrippo, gerente general de inteligencia de amenazas de Microsoft.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>La persistente campa\u00f1a vinculada a Corea del Norte conocida como Entrevista contagiosa ha extendido sus tent\u00e1culos publicando paquetes maliciosos dirigidos a los ecosistemas Go, Rust y PHP. \u00abLos paquetes del actor de amenazas fueron dise\u00f1ados para hacerse pasar por herramientas de desarrollador leg\u00edtimas. [\u2026]mientras funcionan silenciosamente como cargadores de malware, extendiendo el manual establecido de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[24,208,684,273,267,274,277,276,1362,832],"class_list":["post-495","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cyberdefensa-mx","tag-difunden","tag-entre","tag-hackers","tag-maliciosos","tag-norcoreanos","tag-npm","tag-paquetes","tag-pypi","tag-rust"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/495","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=495"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/495\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=495"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=495"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=495"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}