Redazione RHC : 25 septiembre 2025 12:40
Los investigadores descubrieron un paquete malicioso llamado fezbox en npm que roba las cookies de las víctimas. Para garantizar que la actividad maliciosa pase desapercibida, se utilizan códigos QR para descargar el malware del servidor de los atacantes.
Según los investigadores de Socket , los atacantes han descubierto un nuevo uso para los códigos QR: ocultar código malicioso en su interior. Los analistas han informado que el paquete contiene instrucciones ocultas para descargar una imagen JPG con un código QR, que luego se procesa para lanzar una carga útil ofuscada como parte de la segunda etapa del ataque.
Al momento del descubrimiento del malware, el paquete se había descargado al menos 327 veces antes de que los administradores de npm lo eliminaran. Bleeping Computer indica que la principal carga maliciosa se encuentra en el archivo dist/fezbox.cjs del paquete (usando la versión 1.3.0 como ejemplo). El código del archivo se ha minimizado y facilitado su lectura tras formatearlo.
El malware también comprueba si la aplicación se ejecuta en un entorno de desarrollo para evitar ser detectado . «Los atacantes no quieren arriesgarse a ser detectados en un entorno virtual o no productivo, por lo que añaden restricciones sobre cuándo y cómo opera su exploit», explican los investigadores. «Si no se detectan problemas, después de 120 segundos, analiza y ejecuta el código QR en la dirección de la cadena invertida».
El resultado, una vez iniciada la sesión, es una URL. Según los expertos, almacenar las URL en orden inverso es una técnica de enmascaramiento utilizada para eludir las herramientas de análisis estático que buscan URL (aquellas que empiezan por http(s)://) en el código.
A diferencia de los códigos QR que solemos encontrar en la vida real, este es inusualmente denso y contiene mucha más información. Como señalaron los periodistas, es imposible leerlo con la cámara de un teléfono estándar. Los atacantes crearon el código QR específicamente para transmitir código ofuscado que se puede analizar a partir del paquete. La carga ofuscada lee la cookie mediante document.cookie .
El descubrimiento de este malware demuestra un nuevo enfoque para el abuso de códigos QR. Un ordenador infectado puede usarlos para comunicarse con su servidor de comando y control, mientras que para un servidor proxy o una herramienta de seguridad de red, esto aparecerá como tráfico de imágenes normal.
RedazioneEl 20 de septiembre, informamos sobre un ciberataque que paralizó varios aeropuertos europeos, incluidos los de Bruselas, Berlín y Londres-Heathrow. Se trató de un ataque a la cadena de suministro ...
El sistema penitenciario rumano se ha visto envuelto en un grave escándalo digital: reclusos de Târgu Jiu piratearon la plataforma interna de la ANP y, durante varios meses, gestionaron sin ser dete...
Hoy en día, vivimos en un mundo donde el wifi es una necesidad fundamental, pero ¿cómo surgió esta tecnología, que ahora damos por sentada? ¿Cómo se convirtió en la red que usamos a diario? En...
El 10 de octubre de 2025, las autoridades letonas llevaron a cabo una jornada de acción que resultó en la detención de cinco ciudadanos letones sospechosos de dirigir una red de ciberfraude a gran ...
Jen-Hsun Huang, fundador y CEO de Nvidia, reveló que las recientes restricciones a las exportaciones han reducido drásticamente la presencia de los chips de inteligencia artificial de la compañía ...
