Investigadores de ciberseguridad han descubierto lo que afirman es una campaña activa de gusanos de cadena de suministro «similar a Shai-Hulud» que aprovecha un grupo de al menos 19 paquetes npm maliciosos para permitir la recolección de credenciales y el robo de claves de criptomonedas.
La campaña recibió el nombre en código SANDWORM_MODE de la empresa de seguridad de la cadena de suministro Socket. Al igual que en oleadas anteriores de ataques Shai-Hulud, el código malicioso incrustado en el paquete extrae información del sistema, tokens de acceso, secretos del entorno y claves API del entorno del desarrollador y aprovecha identidades robadas de npm y GitHub para propagarse y ampliar automáticamente su alcance.
«Esta muestra conserva las características de Shai-Hulud y agrega respaldo de DNS, persistencia basada en ganchos, respaldo de propagación SSH, inyección de servidor MCP con inyección rápida incorporada dirigida a asistentes de codificación de IA y extracción de API de GitHub con recopilación de claves API de LLM», dijo la compañía.
A continuación se muestran los paquetes publicados en npm por dos alias de editores de npm, official334 y javaorg.
claud-code@0.2.1cloude-code@0.2.1cloude@0.3.0 crypto-locale@1.0.0 crypto-reader-info@1.0.0 detect-cache@1.0.0 format-defaults@1.0.0hardhta@1.0.0 locale-loader-pro@1.0.0 naniod@1.0.0 node-native-bridge@1.0.0 opencraw@2026.2.17 parse-compat@1.0.0rimarf@1.0.0 scan-store@1.0.0 secp256@1.0.0 suport-color@1.0.1 veim@2.46.2 yarsg@18.0.1
También identificamos cuatro paquetes durmientes que no contienen ninguna funcionalidad maliciosa.
ethres iru-caches iruchache uudi
Este paquete incluye una acción de GitHub como arma que recopila secretos de CI/CD y los extrae a través de HTTPS con respaldo de DNS, yendo más allá de la propagación basada en npm. También tiene una rutina destructiva que actúa como un interruptor de apagado al activar un borrado de su directorio de inicio si pierde el acceso a GitHub o npm. Actualmente, la función de limpieza está desactivada de forma predeterminada.
Otro componente clave de este malware es el módulo «McpInject» que apunta específicamente a los asistentes de codificación de IA mediante la implementación de un servidor de protocolo de contexto modelo (MCP) malicioso e inyectando asistentes de codificación de IA en la configuración de la herramienta. El servidor MCP registra tres herramientas aparentemente inofensivas que se hacen pasar por proveedores de herramientas legítimos. Cada herramienta tiene inyecciones de aviso integradas que leen el contenido de los archivos ~/.ssh/id_rsa, ~/.ssh/id_ed25519, ~/.aws/credentials, ~/.npmrc y .env y los almacenan en un directorio local para su posterior extracción.
Este módulo está dirigido a Claude Code, Claude Desktop, Cursor, Microsoft Visual Studio Code (VS Code) Continuar y Windsurf. También recopilamos claves API para nueve proveedores de modelos de lenguaje a gran escala (LLM): Anthropic, Cohere, Fireworks AI, Google, Grok, Mistral, OpenAI, Replicate y Together.
Además, la carga útil incluye un motor polimórfico configurado para llamar a una instancia local de Ollama utilizando el modelo DeepSeek Coder para cambiar el nombre de las variables, reescribir el flujo de control, inyectar código basura y codificar cadenas para evitar la detección. Aunque el motor está apagado en los paquetes detectados actualmente, la inclusión de esta característica sugiere que los operadores tienen la intención de lanzar más iteraciones del malware en el futuro.
Toda la cadena de ataque se desarrolla en dos etapas. El componente de la primera etapa recupera credenciales y claves de criptomonedas y luego carga la segunda etapa. A esto le sigue una recopilación más detallada de credenciales de administradores de contraseñas, propagación similar a un gusano, inyección de MCP y exfiltración completa. La segunda etapa no se activará hasta que hayan pasado 48 horas (hasta 48 horas adicionales de fluctuación por máquina).
Recomendamos que los usuarios que hayan instalado cualquiera de los paquetes antes mencionados los eliminen inmediatamente, roten sus tokens npm/GitHub y sus secretos de CI, y revisen package.json, lockfiles y .github/workflows/ para detectar cambios inesperados.
«Algunas banderas de características y barreras de seguridad todavía sugieren que los actores de amenazas están iterando sobre características (por ejemplo, rutinas destructivas en algunas compilaciones y alternancias para deshabilitar las reescrituras polimórficas)», dijo Socket. «Sin embargo, la aparición del mismo código de gusano en múltiples paquetes de typosquatting y alias de editores indica una distribución intencional y no una liberación accidental».
«El comportamiento destructivo y de propagación sigue siendo una realidad y los riesgos son altos, por lo que los defensores deben tratar estos paquetes como riesgos de compromiso activo en lugar de artefactos de prueba benignos».
Esta divulgación se produjo cuando Veracode y JFrog detallaron otros dos paquetes npm maliciosos llamados «buildrunner-dev» y «eslint-verify-plugin», respectivamente. Estos paquetes están diseñados para ofrecer troyanos de acceso remoto (RAT) dirigidos a sistemas Windows, macOS y Linux. El malware .NET implementado por buildrunner-dev es Pulsar RAT, un RAT de código abierto distribuido a través de una imagen PNG alojada en i.ibb(.)co.
Eslint-verify-plugin, por otro lado, «implementa una sofisticada cadena de infección de varios pasos dirigida a entornos macOS y Linux mientras se hace pasar por la utilidad ESLint legítima», dijo JFrog.
En Linux, el paquete implementa el agente Poseidon del marco Mythic C2. Esto facilita una variedad de funciones posteriores a la explotación, incluida la manipulación de archivos, la recuperación de credenciales y el movimiento lateral. La secuencia de infección de macOS ejecuta Apfell, un agente de JavaScript para automatización (JXA) para macOS, realiza una recopilación exhaustiva de datos y crea un nuevo usuario de macOS con privilegios administrativos.
Algunos de los datos robados por el agente son:
Información del sistema Credenciales del sistema a través de un cuadro de diálogo de contraseña falsa Marcadores del navegador Google Chrome Contenido del portapapeles Archivos, datos de inicio de sesión y marcadores asociados con iCloud Keychain y cookies de Chrome Metadatos de archivos
«El paquete eslint-verify-plugin es un ejemplo directo de cómo un paquete npm malicioso puede pasar de un simple gancho de instalación a comprometer todo el sistema», dijo JFrog. «Al hacerse pasar por una utilidad legítima, los atacantes pudieron ocultar una cadena de infección de varios pasos».
Este hallazgo también sigue a un informe de Checkmarx, que señaló una extensión maliciosa de VS Code conocida como «solid281». Esta extensión se disfraza de la extensión oficial de Solidity, pero oculta una funcionalidad secreta que ejecuta automáticamente un cargador altamente ofuscado al iniciar la aplicación, eliminando ScreenConnect en Windows y un shell inverso de Python en máquinas macOS y Linux.
«Esto refleja un patrón más amplio que otros equipos han informado, en el que los desarrolladores de Solidity parecen ser un objetivo específico, incluidas campañas que utilizan extensiones falsas de Solidity para instalar ScreenConnect e implementar cargas útiles posteriores», señaló Checkmarx.
Source link
