Un nou vector d’atac on els ciberdelinqüents ataquen el Google Calendar convida a lliurar programari maliciós mitjançant una tècnica d’ofuscació sofisticada que inclou només un caràcter visible que amaga codi maliciós.

Aquest descobriment posa de manifest com els actors de les amenaces estan evolucionant les seves tàctiques per evitar les mesures de seguretat tradicionals mitjançant l’explotació de plataformes de confiança.

El març de 2025, els investigadors de seguretat d’Aikido van descobrir un paquet npm sospitós anomenat “os-info-checker-es6” que semblava comprovar la informació del sistema però que contenia codi sospitós.

El que els va cridar l’atenció va ser el que semblava ser només un caràcter de barra vertical (“|”) al codi, però en realitat amagava alguna cosa molt més sinistre.

«El que vam descobrir va ser fascinant: aquest caràcter únic no era en realitat un simple símbol de barra vertical, sinó que contenia caràcters invisibles d’Àrea d’Ús Privat (PUA) Unicode», van explicar els investigadors en la seva anàlisi.

Aquests caràcters PUA es reserven a l’estàndard Unicode per a aplicacions personalitzades i no es poden imprimir, per la qual cosa són perfectes per amagar codi maliciós.

Quan es va descodificar, aquest caràcter aparentment innocent es va transformar en instruccions codificades en base64 que finalment es van connectar al Calendari de Google per a operacions de comandament i control.

El Calendari de Google convida a lliurar càrrega útil maliciosa

La investigació va revelar que el programari maliciós estava dissenyat per obtenir càrregues útils malicioses mitjançant un URL d’invitació del Calendari de Google. La invitació del calendari contenia cadenes codificades en base64 que, quan es descodificaven, dirigien les víctimes a un servidor controlat per un atacant.

«Això representa una evolució preocupant en la metodologia d’atac», va dir Aikido. «En aprofitar el Calendari de Google, una plataforma de confiança utilitzada per milions de persones, els atacants poden eludir les mesures de seguretat de correu electrònic tradicionals que normalment marcarien fitxers adjunts sospitosos.»

Els investigadors de Check Point van identificar atacs similars de manera independent, i van assenyalar que els cibercriminals estan modificant les capçaleres de correu electrònic per fer que els missatges maliciosos sembli com si s’enviessin directament des del Calendari de Google.

Un cop un objectiu interactua amb aquestes invitacions del calendari, es pot dirigir a llocs web fraudulents dissenyats per robar credencials o informació financera.

Els atacants no es van aturar en un paquet. Els investigadors de seguretat van identificar diversos paquets npm afectats per aquesta tècnica:

• skip-tot
• vue-dev-serverr
• vue-dummyy
• vue-bit

Tots aquests paquets van afegir el maliciós “os-info-checker-es6” com a dependència, i van crear una superfície d’atac més àmplia.

Cal protegir-se

Google ha reconegut l’amenaça i recomana que els usuaris habilitin la configuració de «remitents coneguts» al Calendari de Google per ajudar a defensar-se d’aquest tipus de pesca. Els experts en seguretat també aconsellen:

• Desconfieu de les invitacions inesperades del calendari, especialment les programades en el futur.
• Verifiqueu la identitat del remitent abans d’acceptar invitacions o fer clic als enllaços.
• Manteniu el programari actualitzat per corregir les vulnerabilitats de seguretat.
• Informeu les invitacions de calendari sospitoses com a correu brossa mitjançant la funció d’informes del Calendari de Google.

Aquest atac demostra com els ciberdelinqüents continuen trobant maneres innovadores de lliurar càrregues útils malicioses, tot aprofitant plataformes de confiança i tècniques d’ofuscació sofisticades.

Ocultant codi maliciós en el qual sembla que hi ha un sol caràcter i utilitzant el Calendari de Google com a mecanisme de lliurament, els atacants han creat un nou vector d’atac preocupant que podria comprometre tant els usuaris individuals com les organitzacions.