Los investigadores de ciberseguridad han descubierto dos nuevos paquetes maliciosos en el registro de NPM que hacen uso de contratos inteligentes para que Ethereum Blockchain realice acciones maliciosas en sistemas comprometidos, lo que indica la tendencia de los actores de amenaza constantemente en la búsqueda de nuevas formas de distribuir malware y volar bajo el radar.
«Los dos paquetes de NPM abusaron de contratos inteligentes para ocultar comandos maliciosos que instalaron malware descargador en sistemas comprometidos», la investigadora de reversinglabs Lucija Valentić dicho En un informe compartido con The Hacker News.
Los paquetes, ambos cargados a NPM en julio de 2025 y ya no están disponibles para descargar, se enumeran a continuación –
La firma de seguridad de la cadena de suministro de software dijo que las bibliotecas son parte de una campaña más grande y sofisticada que afecta tanto a NPM como a GitHub, engañando a los desarrolladores desprevenidos para que los descarguen y la ejecución.
Si bien los paquetes en sí no hacen ningún esfuerzo para ocultar su funcionalidad maliciosa, ReversingLabs señaló que los proyectos de Github que importaron estos paquetes se esforzaron para que parecieran creíbles.
En cuanto a los paquetes en sí, el comportamiento nefasto se activa una vez que se usa o se incluye en algún otro proyecto, lo que hace que busque y ejecute una carga útil de la próxima etapa de un servidor controlado por el atacante.
Aunque este es el costo para el curso cuando se trata de descargadores de malware, donde se distingue es el uso de contratos inteligentes de Ethereum para organizar las URL que alojan la carga útil, una técnica que recuerda Etherhiding. El cambio subraya las nuevas tácticas que los actores de amenaza están adoptando para evadir la detección.
Una investigación adicional sobre los paquetes ha revelado que se hace referencia en una red de repositorios de GitHub que afirman ser un Solana-Trading-Bot-V2 que aprovecha los «datos en la cadena en tiempo real para ejecutar operaciones automáticamente, ahorrando su tiempo y esfuerzo». La cuenta de GitHub asociada con el repositorio ya no está disponible.
Se evalúa que estas cuentas son parte de una oferta de distribución como servicio (DAAS) llamada Stargazers Ghost Networkque se refiere a un grupo de cuentas falsas de Github que se sabe que protagoniza, tenga el bifurcación, el reloj, se compromete y se suscribe a repositorios maliciosos para inflar artificialmente su popularidad.
Entre los compromisos se encuentran cambios en el código fuente para importar Colortoolsv2. Algunos de los otros repositorios capturados empujando el paquete NPM son Ethereum-Mev-Bot-V2, arbitraje-bots y hiperliquid-trading-bot.
El nombramiento de estos repositorios de GitHub sugiere que los desarrolladores y usuarios de criptomonedas son el objetivo principal de la campaña, utilizando una combinación de ingeniería social y engaño.
«Es fundamental que los desarrolladores evalúen cada biblioteca que están considerando implementar antes de decidir incluirla en su ciclo de desarrollo», dijo Valentić. «Y eso significa retirar las portadas de los paquetes de código abierto y sus mantenedores: mirar más allá de los números crudos de los mantenedores, los compromisos y las descargas para evaluar si un paquete determinado y los desarrolladores detrás de él son lo que se presentan».
Fuente