La investigación del equipo de Socket ha descubierto un paquete malicioso de npm, @naderabdi/merchant-advcash, que se presenta como una integración de vendedor para Advcash, pero que en realidad activa un shell reverso durante la confirmación de pagos. Este módulo, que aparenta ser un sistema legítimo de procesamiento de pagos, infecta servidores que manejan transacciones, poniendo en grave riesgo la seguridad de los sistemas afectados.
La amenaza se manifiesta en un paquete que, aunque realiza funciones de lógica de negocio, como validación de credenciales y procesamiento de datos de pago, contiene un shell reverso integrado que se activa no al instalarlo, sino precisamente en el momento exitoso de un pago. El atacante, al usar un paquete como este, busca aprovechar momentos de confianza máxima para ejecutar su ataque.
Advcash, un servicio de pagos menos conocido, a menudo utilizado en intercambios de criptomonedas y servicios financieros de alto riesgo, fue el elegido por el atacante para disfrazar su actividad maliciosa. El código fuente muestra que, al invocar el método url_success(req, res), se inicia un shell que conecta con la dirección IP 65.109.184.223 a través del puerto TCP 8443, otorgando al atacante control remoto sobre el sistema afectado.
Entre las características engañosas que incluye el paquete, se encuentran:
- Métodos para crear órdenes de pago y validar solicitudes.
- Validaciones de entradas y verificación de hash que simulan comportamientos en un módulo de pago legítimo.
- Un proceso bien estructurado que crea tokens de firma y gestiona información sensible del comerciante.
El comportamiento del shell reverso, oculto en el flujo de éxito de una transacción, hace que este ataque sea particularmente difícil de detectar, ya que se ejecuta en un contexto que podría ser considerado seguro. Esto infiere que, potencialmente, el paquete fue diseñado para comprometer ambientes de producción donde se realizan transacciones reales.
Este hallazgo plantea numerosas preguntas sobre la seguridad en ecosistemas de pagos y la posibilidad de que este tipo de malware se convierta en un servicio accesible para atacantes targeting nichos de mercado con menor vigilancia. La inclusión de características realistas en el paquete no solo aumenta su credibilidad, sino que también incrementa la probabilidad de que sea adoptado sin sospechas por desarrolladores.
El equipo de Socket ha informado sobre este paquete malicioso al equipo de npm, que fue eliminado rápidamente para evitar futuros ataques. Este tipo de incidentes subraya la necesidad de que los desarrolladores y equipos de seguridad implementen medidas de verificación rigurosas y mantengan un escepticismo saludable hacia todos los paquetes de código abierto, especialmente aquellos involucrados en flujos críticos de negocio.
