Los investigadores de ciberseguridad han descubierto dos nuevos paquetes maliciosos en el registro de NPM. Esto muestra que utiliza contratos inteligentes de Ethereum Blockchain para realizar acciones maliciosas en sistemas comprometidos, distribuir malware con una visión constante para las tendencias de acción de amenazas y volar bajo radar.
«Los dos paquetes de NPM abusan de contratos inteligentes para ocultar comandos maliciosos que instalaron malware descargador en sistemas comprometidos», dice Lucija Valentić, investigadora de ReversingLabs, en un informe compartido con Hacker News.
Ambos paquetes que se cargaron a NPM en julio de 2025 y ya no están disponibles para descargar se enumeran a continuación –
La compañía de seguridad de la cadena de suministro de software dijo que la biblioteca es parte de una gran campaña sofisticada que afecta tanto a NPM como a GitHub, descargándola y ejecutándola a desarrolladores desprevenidos.
Los paquetes en sí no hacen ningún esfuerzo para ocultar características maliciosas, pero ReversingLabs señaló que tuvieron dificultades para que pareciera confiable para proyectos de GitHub que importaron estos paquetes.
En cuanto al paquete en sí, el paquete en sí adquiere si se usa o se incluye en otro proyecto, y luego comienza y recupera y ejecuta la siguiente carga útil del servidor de control del atacante.
Este es el uso de contratos inteligentes de Ethereum para organizar la URL que aloja la carga útil, una técnica que recuerda a Ether Ocultar, aunque está al pie de la letra del curso cuando se trata de descargadores de malware. Este cambio destaca la nueva amenaza de táctica que los actores están empleando para evitar la detección.
Investigaciones adicionales sobre el paquete revelaron que se «hace referencia en una red de repositorios de GitHub que afirman ser Bot V2 Trading Solana que utiliza ‘datos en la cadena en tiempo real’ para ejecutar automáticamente los datos en la cadena en tiempo real y ahorrar tiempo y esfuerzo. La cuenta GitHub asociada con el repositorio ya no está disponible.
Estas cuentas se califican como parte de una distribución como servicio (DAAS) llamado Stargazers Ghost Network. Esto se refiere a un grupo de cuentas falsas de Github que se sabe que inflan la popularidad de las estrellas, la gente, la vigilancia, la cometer y suscribirse.
Estas confirmaciones contienen cambios de código fuente para importar ColortoolSV2. Algunos de los otros repositorios que están presionando el paquete NPM son Ethereum-MeV-Bot-V2, arbitraje-bots y hiperliquid-trading-bot.
El nombramiento de estos repositorios de GitHub utiliza una combinación de ingeniería social y engaño para sugerir que los desarrolladores y usuarios de criptomonedas son los principales objetivos de la campaña.
«Es importante que los desarrolladores evalúen cada biblioteca que están considerando implementar antes de decidir incluirla en su ciclo de desarrollo», dijo Valentić. «Eso significa retirar la portada con los paquetes de código abierto y sus mantenedores. Lo descarga para evaluar si un paquete en particular y el desarrollador detrás de ella se presenta, más allá del número bruto de mantenedores».
Source link
