Los investigadores de ciberseguridad han descubierto un paquete Malicioso NPM que viene con características sigilosas para inyectar código malicioso en aplicaciones de escritorio para billeteras de criptomonedas como Atomic y Exodus en los sistemas de Windows.
El paquete, llamado nodejs-smtpse hace pasar por la biblioteca de correo electrónico legítimo notailer con un lema idéntico, estilo de página y descripciones de lectura, atrayendo un total de 347 descargas ya que era cargado al registro de NPM en abril de 2025 por un usuario llamado «Nikotimon». Actualmente ya no está disponible.
«En la importación, el paquete utiliza herramientas de electrones para desempacar la aplicación de la billetera Atomic. dicho.
El objetivo principal es sobrescribir la dirección del destinatario con billeteras con codificación dura controladas por el actor de amenazas, redirigir bitcoin (BTC), ethereum (ETH), atado (USDT y TRX USDT), XRP (XRP) y transacciones de Solana (SOL), actuando efectivamente como un clipper de criptoria.
Dicho esto, el paquete ofrece su funcionalidad establecida al actuar como un correo basado en SMTP en un intento por evitar aumentar las sospechas de los desarrolladores.
El paquete todavía funciona como un correo y expone una interfaz de entrega compatible con NodEmailer. Esa cubierta funcional reduce la sospecha, permite que las pruebas de aplicación pasen y les da a los desarrolladores pocas razones para cuestionar la dependencia.
El desarrollo se produce meses después de reversarlabs descubierto Un paquete NPM llamado «PDF-to-office» que alcanzó los mismos objetivos al desempacar los archivos «App.Asar» asociados con las billeteras atómicas y exodus y modificando dentro de ellos un archivo JavaScript para introducir la función Clipper.
«Esta campaña muestra cómo una importación de rutina en una estación de trabajo de un desarrollador puede modificar silenciosamente una aplicación de escritorio separada y persistir en reinicios», dijo Boychenko. «Al abusar de la ejecución del tiempo de importación y el envasado de electrones, un cartelero del aspecto parecido se convierte en un drenador de billetera que altera Atomic y Exodus en los sistemas de Windows comprometidos».
Fuente