{"id":10582,"date":"2025-04-21T15:30:16","date_gmt":"2025-04-21T20:30:16","guid":{"rendered":"https:\/\/beaconlab.us\/?p=10582"},"modified":"2025-04-21T15:40:50","modified_gmt":"2025-04-21T20:40:50","slug":"paquetes-npm-falsos-apuntan-a-bots-de-telegram","status":"publish","type":"post","link":"https:\/\/beaconlab.us\/es\/paquetes-npm-falsos-apuntan-a-bots-de-telegram\/","title":{"rendered":"Paquetes npm falsos apuntan a bots de Telegram"},"content":{"rendered":"\n

Descubrimiento <\/p>\n\n\n\n

El equipo de investigaci\u00f3n de amenazas ha identificado un nuevo ataque a la cadena de suministro (Supply Chain Attack) que afecta a desarrolladores de bots para Telegram. Se trata de bibliotecas npm maliciosas que, bajo el nombre de populares paquetes relacionados con la API de bots de Telegram, instalan puertas traseras SSH y rutinas de exfiltraci\u00f3n de datos en sistemas Linux. <\/p>\n\n\n\n

Telegram, con m\u00e1s de mil millones de usuarios activos mensuales en 2025, se ha convertido en un objetivo atractivo debido a su arquitectura abierta y sin un control centralizado para bots. Esta flexibilidad permite que cualquier desarrollador publique bots sin un proceso de verificaci\u00f3n formal, lo que facilita que actores maliciosos distribuyan paquetes falsos. <\/p>\n\n\n\n

Los paquetes identificados node-telegram-utils, node-telegram-bots-api<\/strong> y node-telegram-uti<\/strong> imitan al popular node-telegram-bot-api, incluso replicando su README y enlazando al repositorio leg\u00edtimo para aparentar autenticidad. Una vez instalados, ejecutan autom\u00e1ticamente una funci\u00f3n oculta al instanciarse que modifica el archivo authorized_keys del sistema para incluir claves SSH del atacante, permitiendo acceso persistente. Adem\u00e1s, exfiltran la IP externa y el nombre de usuario del sistema a un dominio malicioso. <\/p>\n\n\n\n

A continuaci\u00f3n, se muestra parte del c\u00f3digo que realiza estas acciones: <\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

El simple hecho de eliminar el paquete no revoca el acceso, ya que las claves SSH permanecen en el sistema. Estos incidentes demuestran c\u00f3mo una sola instalaci\u00f3n puede comprometer completamente un entorno de desarrollo o producci\u00f3n. <\/p>\n\n\n\n

Bibliotecas npm maliciosas explotan bots de Telegram para acceso persistente Para mitigar estos riesgos, es crucial auditar regularmente las dependencias y utilizar herramientas como la CLI de Socket, su extensi\u00f3n para navegador y su integraci\u00f3n en GitHub, que permiten identificar actividad maliciosa en tiempo real y evitar su propagaci\u00f3n en entornos productivos. <\/p>\n\n\n\n

Indicadores de compromiso (IOC)\u202f:  <\/p>\n\n\n\n

Paquetes maliciosos <\/p>\n\n\n\n