Recientemente, investigadores de Aikido descubrieron una técnica novedosa que utiliza invitaciones de Google Calendar para distribuir malware. Esta técnica es particularmente interesante porque se basa en ocultar código malicioso dentro de caracteres aparentemente inocentes, aprovechando una falla en la forma en que los sistemas interpretan el texto.
¿Cómo funciona el ataque?
El truco que usan los atacantes es tan ingenioso como preocupante: ocultan código malicioso dentro de un solo carácter visible, en este caso, el símbolo «|» (barra vertical).
¿Qué es un carácter PUA?
El PUA (Private Use Area) es un rango de caracteres en el estándar Unicode reservado para aplicaciones personalizadas. Estos caracteres no tienen un símbolo visible predefinido y suelen ser invisibles en la mayoría de las fuentes, lo que los hace perfectos para esconder comandos o instrucciones maliciosas.
Ejemplo:
Imaginá que ves un mensaje que parece contener solo un «|» en su código. Sin embargo, al decodificarlo, ese carácter se transforma en un comando en Base64 que redirige al dispositivo infectado a un servidor controlado por el atacante.
Cadena de ataque
El proceso típico del ataque es el siguiente:
- Instalación inicial del código malicioso:
En marzo de 2025, Aikido identificó un paquete npm sospechoso llamado «os-info-checker-es6». Aunque parecía inofensivo, contenía código oculto en caracteres PUA. - Decodificación del payload:
Cuando el código es decodificado, se convierte en una cadena Base64 que establece una conexión con un servidor remoto a través de una URL de Google Calendar. - Entrega del malware:
El servidor controlado por el atacante usa esta conexión para descargar cargas maliciosas adicionales, que pueden incluir troyanos, keyloggers o herramientas de acceso remoto (RATs). - Expansión del ataque:
Los investigadores encontraron que este paquete estaba siendo utilizado como dependencia en otros paquetes npm populares, incluyendo:- skip-tot
- vue-dev-serverr
- vue-dummyy
- vue-bit
¿Por qué es peligroso este enfoque?
Evasión de seguridad:
El uso de caracteres PUA y plataformas legítimas como Google Calendar hace que estos ataques sean muy difíciles de detectar para los sistemas de filtrado convencionales, que suelen buscar patrones más tradicionales como scripts de PowerShell o macros de Office.
Amplia superficie de ataque:
Cualquiera que use Google Calendar es un objetivo potencial, desde usuarios domésticos hasta grandes corporaciones, dado que estos servicios son de uso masivo y suelen ser considerados seguros.
¿Cómo te tenés que preparar?
Medidas que te recomendamos:
- Activá la opción «solo remitentes conocidos» en Google Calendar para bloquear invitaciones de fuentes desconocidas.
- Verificá siempre la identidad del remitente antes de aceptar invitaciones o hacer clic en enlaces.
- Mantené actualizado tu software para parchar posibles vulnerabilidades.
- Informá los eventos sospechosos como spam desde Google Calendar.
Educar y concientizar:
Los usuarios deben estar informados sobre este tipo de ataques para poder identificarlos y evitarlos. Las políticas de seguridad corporativa también deben incluir controles específicos para aplicaciones de colaboración en la nube como Google Workspace.
Las tecnologías avanzan, tanto para bien como para mal
Este ataque es un claro ejemplo de cómo los cibercriminales están usando técnicas cada vez más sofisticadas para evadir las medidas de seguridad tradicionales, aprovechando plataformas que se consideran confiables. Mantenerse al día con las últimas amenazas y ajustar las configuraciones de seguridad son pasos críticos para minimizar el riesgo de estos ataques.
