Investigadores de ciberseguridad han descubierto un conjunto de 10 paquetes npm maliciosos que están diseñados para ofrecer un ladrón de información dirigido a sistemas Windows, Linux y macOS.
«El malware utiliza cuatro capas de ofuscación para ocultar su carga útil, muestra un CAPTCHA falso para parecer legítimo, toma huellas dactilares de las víctimas por dirección IP y descarga un ladrón de información empaquetado con PyInstaller de 24 MB que recopila credenciales de los conjuntos de claves del sistema, navegadores y servicios de autenticación en Windows, Linux y macOS», dijo el investigador de seguridad de Socket, Kush Pandya. dicho.
Los paquetes npm se cargaron en el registro el 4 de julio de 2025 y acumularon más de 9900 descargas en conjunto.
- deezcord.js
- dezcord.js
- dizcordjs
- etherdjs
- etesjs
- etetsjs
- nodemonjs
- reaccionar-enrutador-dom.js
- mecanografiadojs
- zustand.js
La operación de robo de credenciales de varias etapas se manifestó en forma de varios paquetes con errores tipográficos que se hacían pasar por bibliotecas npm populares como TypeScript, discord.js, ethers.js, nodemon, react-router-dom y zustand.
Una vez instalado, el malware muestra un mensaje CAPTCHA falso y muestra resultados de apariencia auténtica que imitan instalaciones de paquetes legítimas para dar la impresión de que el proceso de configuración avanza según lo esperado. Sin embargo, en segundo plano, el paquete captura la dirección IP de la víctima y la envía a un servidor externo («195.133.79[.]43») y luego procede a eliminar el malware principal.
En cada paquete, la funcionalidad maliciosa se activa automáticamente durante la instalación mediante un enlace posterior a la instalación, iniciando un script llamado «install.js» que detecta el sistema operativo de la víctima y lanza una carga útil ofuscada («app.js») en una nueva ventana del símbolo del sistema (Windows), Terminal GNOME o emulador x-terminal (Linux) o Terminal (macOS).
«Al generar una nueva ventana de terminal, el malware se ejecuta independientemente del proceso de instalación de npm», señaló Pandya. «Los desarrolladores que miran su terminal durante la instalación ven aparecer brevemente una nueva ventana que el malware borra inmediatamente para evitar sospechas».
El JavaScript contenido en «app.js» está oculto a través de cuatro capas de ofuscación, como cifrado XOR con una clave generada dinámicamente, codificación URL de la cadena de carga útil y uso de aritmética hexadecimal y octal para oscurecer el flujo del programa, que están diseñados para resistir el análisis.
El objetivo final del ataque es recuperar y ejecutar un ladrón de información integral («data_extracter») desde el mismo servidor que está equipado para escanear minuciosamente la máquina del desarrollador en busca de secretos, tokens de autenticación, credenciales y cookies de sesión de navegadores web, archivos de configuración y claves SSH.
El binario ladrón también incorpora implementaciones específicas de la plataforma para extraer credenciales del conjunto de claves del sistema utilizando el biblioteca npm de llavero. La información recopilada se comprime en un archivo ZIP y se extrae al servidor.
«Los llaveros del sistema almacenan credenciales para servicios críticos, incluidos clientes de correo electrónico (Outlook, Thunderbird), herramientas de sincronización de almacenamiento en la nube (Dropbox, Google Drive, OneDrive), conexiones VPN (Cisco AnyConnect, OpenVPN), administradores de contraseñas, frases de contraseña SSH, cadenas de conexión de bases de datos y otras aplicaciones que se integran con el almacén de credenciales del sistema operativo», dijo Socket.
«Al apuntar directamente al conjunto de claves, el malware elude la seguridad a nivel de aplicación y recolecta las credenciales almacenadas en su forma descifrada. Estas credenciales brindan acceso inmediato al correo electrónico corporativo, almacenamiento de archivos, redes internas y bases de datos de producción».
Fuente