Los investigadores de ciberseguridad han descubierto un paquete Malicioso NPM con capacidades de sigilo para inyectar código malicioso en aplicaciones de escritorio para billeteras de criptomonedas como Atomic y Exodus en los sistemas de Windows.
Un paquete llamado NodeJS-SMTP disfraza el correo de nodo de biblioteca de correo electrónico legítimo con el mismo frase, estilo de página y descripciones de lectura, y ha recopilado un total de 347 descargas desde que fue cargado en el Registro de NPM en abril de 2025 por un usuario llamado «Nikotimon». Actualmente ya no está disponible.
«En importación, el paquete utiliza herramientas electrónicas para desempaquetar la aplicación en la billetera atómica, reemplace el paquete de proveedores con una carga útil maliciosa, reempaquete la aplicación, elimine el directorio de trabajo y elimine la traza».
El objetivo principal es sobrescribir las direcciones de los receptores con billeteras codificadas controladas por actores de amenaza, y redirigir las transacciones Bitcoin (BTC), Ethereum (ETH), Tether (USDT y TRX USDT), XRP (XRP) y Solana (SOL).
Dicho esto, este paquete proporciona funcionalidad especificada al actuar como un correo basado en SMTP para evitar cualquier duda del desarrollador.
El paquete aún actúa como un correo y expone una interfaz de entrega de personas que es compatible con NodEmailer. Su cobertura de características reduce la duda, pasa las pruebas de aplicación y tiene pocas razones para aumentar los desarrolladores cuestionando sus dependencias.
El desarrollo se produce meses después de que ReversingLabs descubrió un paquete NPM llamado «PDF-to-office». Esto logró el mismo objetivo al desempacar los archivos «App.Asar» asociados con billeteras atómicas y exodus y modificar el archivo JavaScript para introducir funciones de Clipper.
«Esta campaña muestra cómo las importaciones de rutina a las estaciones de trabajo de los desarrolladores pueden modificar en silencio otras aplicaciones de escritorio y mantenerlas durante todo el reinicio», dijo Boychenko. «Al ejecutar los tiempos de importación y los paquetes electrónicos de abuso, un cartero similar se convierte en un drenador de billetera que transforma el atómico y la salida en los sistemas de Windows comprometidos».
Source link
