-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Biblioteca maliciosa de JavaScript abre puertas traseras
- Publicado: 02/11/2020
- Importancia: Media
- Recursos afectados
Para contextualizar este ataque, se suma el intento de robo de marca; ya que se involucra el nombre de Twilio que es una plataforma de comunicaciones en la nube en donde se desarrollan aplicaciones basadas en VoIP.
El código malicioso embebido en la biblioteca falsa realiza las siguientes acciones:
- Abre un Shell inverso de TCP en todos los equipos donde se descarga e importa la biblioteca.
- El Shell inverso, abre la conexión tcp.ngrok[.]Io:11425 de donde se reciben instrucciones de configuración o nuevos comandos.
Existe una especial predilección por los equipos que realizan tareas de programación. Para esta campaña en particular, los actores detrás del malware twilio-npm decidieron tener como objetivo los sistemas UNIX para la última versión disponible (1.0.2).
Este es un breve resumen por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas