ESTOY BAJO UN CIBER ATAQUE

Paquetes npm falsos apuntan a bots de Telegram

Descubrimiento 

El equipo de investigación de amenazas ha identificado un nuevo ataque a la cadena de suministro (Supply Chain Attack) que afecta a desarrolladores de bots para Telegram. Se trata de bibliotecas npm maliciosas que, bajo el nombre de populares paquetes relacionados con la API de bots de Telegram, instalan puertas traseras SSH y rutinas de exfiltración de datos en sistemas Linux. 

Telegram, con más de mil millones de usuarios activos mensuales en 2025, se ha convertido en un objetivo atractivo debido a su arquitectura abierta y sin un control centralizado para bots. Esta flexibilidad permite que cualquier desarrollador publique bots sin un proceso de verificación formal, lo que facilita que actores maliciosos distribuyan paquetes falsos. 

Los paquetes identificados node-telegram-utils, node-telegram-bots-api y node-telegram-uti imitan al popular node-telegram-bot-api, incluso replicando su README y enlazando al repositorio legítimo para aparentar autenticidad. Una vez instalados, ejecutan automáticamente una función oculta al instanciarse que modifica el archivo authorized_keys del sistema para incluir claves SSH del atacante, permitiendo acceso persistente. Además, exfiltran la IP externa y el nombre de usuario del sistema a un dominio malicioso. 

A continuación, se muestra parte del código que realiza estas acciones: 

El simple hecho de eliminar el paquete no revoca el acceso, ya que las claves SSH permanecen en el sistema. Estos incidentes demuestran cómo una sola instalación puede comprometer completamente un entorno de desarrollo o producción. 

Bibliotecas npm maliciosas explotan bots de Telegram para acceso persistente Para mitigar estos riesgos, es crucial auditar regularmente las dependencias y utilizar herramientas como la CLI de Socket, su extensión para navegador y su integración en GitHub, que permiten identificar actividad maliciosa en tiempo real y evitar su propagación en entornos productivos. 

Indicadores de compromiso (IOC) :  

Paquetes maliciosos 

Información adicional: 

  • https://socket.dev/blog/npm-malware-targets-telegram-bot-developers  
  • https://thehackernews.com/2025/04/rogue-npm-packages-mimic-telegram-bot.html 

Noticias Recientes

La ciberseguridad en México

octubre 29, 2024

Aumenta la actividad del Grupo RansomHub en latinoamerica

octubre 15, 2024

BeaconLab ya es miembro oficial de FIRST

julio 22, 2024

Etiquetas

actualidad
beaconlab
ciberseguridad
csirt
cyber-incident
dataleak
first
mexico
mx
news
pymes
ransomhub
ransomware
ransomware-group
red
Red CryptoApp
red-ransomware

ESTAMOS AQUÍ PARA AYUDARTE

¿Estás sufriendo un ciberataque?

Denúncialo aquí

recibe las últimas alertas en tu bandeja de entrada

Suscríbete a nuestro boletín

Somos un grupo de profesionales altamente capacitados con sede en I+D, con conocimientos técnicos avanzados y experiencia en la detección, análisis, contención y recuperación de incidentes de seguridad.

Somos un CSIRT, somos Cybolt.

ESTOY SUFRIENDO UN CIBERATAQUE

Explora

Servicios

Mantente informado

© 2024. Beacon Lab CSIRT, Política de privacidad

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.