Investigadores de ciberseguridad han descubierto una serie de paquetes npm maliciosos diseñados para robar billeteras de criptomonedas y datos confidenciales.
ReversingLabs rastrea esta actividad como la campaña Ghost. La lista de paquetes identificados, todos publicados por un usuario llamado mikilanjillo, se puede encontrar a continuación.
React Performance Suite React State Optimizer Core React Fast Utility sa ai-fast-auto-trader pkgnewfefame1 Carbon Mac Copy Cloner Coinbase Desktop SDK
«El paquete en sí está suplantando la contraseña sudo utilizada para ejecutar la etapa final y está utilizando un método sofisticado para mostrar registros de instalación de npm falsos para ocultar su funcionalidad real y evadir la detección», dijo Lucija Valentić, investigadora de amenazas de software en ReversingLabs, en un informe compartido con The Hacker News.
La biblioteca Node.js identificada no solo afirma falsamente que descarga paquetes adicionales, sino que también inyecta retrasos aleatorios para dar la impresión de que el proceso de instalación está en progreso. En algún momento durante este paso, se advierte al usuario que la instalación está fallando porque no tiene permisos de escritura en «/usr/local/lib/node_modules», que es la ubicación predeterminada para los paquetes Node.js que se instalan globalmente en sistemas Linux y macOS.
También le indica a la víctima que ingrese la contraseña de root o de administrador para continuar con la instalación. Una vez que se ingresa la contraseña, el malware recupera silenciosamente la siguiente etapa del descargador, accediendo al canal de Telegram para obtener la URL de la carga útil final y la clave necesaria para descifrarla.
El ataque culmina con la implementación de un troyano de acceso remoto que puede recopilar datos, apuntar a billeteras de criptomonedas y esperar más instrucciones de un servidor externo.
ReversingLabs dijo que este intercambio de actividades se superpone con un grupo de actividades que JFrog documentó a principios de este mes con el nombre de GhostClaw, pero actualmente no está claro si se trata del trabajo del mismo actor de amenazas o de una campaña completamente nueva.
GhostClaw utiliza repositorios de GitHub y flujos de trabajo de IA para ofrecer macOS Stealer
Jamf Threat Labs dijo en un análisis publicado la semana pasada que la campaña GhostClaw utiliza repositorios de GitHub y flujos de trabajo de desarrollo asistidos por inteligencia artificial (IA) para entregar cargas útiles de robo de credenciales en macOS.
«Estos repositorios están disfrazados de herramientas legítimas, como robots comerciales, SDK y utilidades para desarrolladores, y están diseñados para parecer confiables a primera vista», dijo el investigador de seguridad Thijs Xhaflaire. «Algunos de los repositorios identificados han acumulado una participación significativa, en algunos casos superando los cientos de estrellas, lo que refuerza aún más su legitimidad percibida».
En esta campaña, los repositorios se llenan inicialmente con código benigno o parcialmente funcional y se dejan sin modificar durante largos períodos de tiempo para generar confianza entre los usuarios antes de que se introduzcan componentes maliciosos. Específicamente, el repositorio incluye un archivo README que guía a los desarrolladores a ejecutar scripts de shell como parte del procedimiento de instalación.
Las variantes de estos repositorios contienen archivos SKILL.md y se dirigen principalmente a flujos de trabajo orientados a Al con el pretexto de instalar habilidades externas a través de agentes de IA como OpenClaw. Independientemente del método utilizado, el script de shell inicia un proceso de infección de varios pasos que finaliza con la implementación del ladrón. Toda la secuencia de acciones es:
Identifique su arquitectura de host y versión de macOS, verifique si Node.js ya está presente e instale una versión compatible si es necesario. Para evitar señales de alerta, la instalación se realiza en un directorio controlado por el usuario. El virus llama ‘node scripts/setup.js’ y ‘node scripts/postinstall.js’, realiza la transición a una carga útil de JavaScript, roba las credenciales del sistema, se conecta a un servidor de comando y control (C2) para entregar el malware GhostLoader y limpia el terminal para eliminar cualquier rastro de actividad maliciosa.
Este script también viene con una variable de entorno llamada «GHOST_PASSWORD_ONLY». Establecer esto en cero muestra un flujo de instalación completamente interactivo con indicadores de progreso e indicaciones para el usuario. Cuando se establece en 1, el script inicia una ruta de ejecución simplificada que se centra principalmente en recopilar credenciales sin ningún elemento adicional de la interfaz de usuario.
Curiosamente, al menos en algunos casos, el script «postinstall.js» muestra un mensaje de éxito inofensivo que indica que la instalación fue exitosa y que el usuario puede configurar la biblioteca en el proyecto ejecutando el comando «npx react-state-optimizer».
Según un informe de la firma de seguridad en la nube Panther el mes pasado, ‘react-state-optimizer’ es uno de varios otros paquetes npm publicados por ‘mikilanjillo’, lo que indica que los dos grupos de actividades son uno y el mismo.
reaccionar-query-core-utilidades reaccionar-estado optimizador reaccionar-rápido-utilidades reaccionar-rendimiento-suite ai-fast-auto-trader carbon-mac-copy-cloner carbon-mac-copy-cloner pkgnewfefame darkslash
«El paquete contiene un ‘asistente de configuración’ CLI que engaña a los desarrolladores para que ingresen su contraseña sudo y realicen ‘optimizaciones del sistema'», dijo la investigadora de seguridad Alessandra Rizzo. «La contraseña capturada se pasa a una carga útil integral de ladrón de credenciales que recopila credenciales del navegador, billeteras de criptomonedas, claves SSH, configuración del proveedor de la nube y tokens de herramientas de desarrollador».
«Los datos robados se enrutan a bots de Telegram específicos de los socios según el identificador de campaña integrado en cada cargador, y las credenciales se almacenan en el contrato inteligente de BSC y se actualizan sin cambiar el malware en sí».
El primer paquete npm implementa el ladrón obteniendo credenciales y configuración de una página Teletype.in disfrazada de un canal de Telegram o documentación de blockchain. Según Panther, el malware implementa un modelo de ingresos dual, con ingresos primarios derivados del robo de credenciales transmitidos a través del canal Telegram de un socio, e ingresos secundarios derivados de redirecciones de URL de afiliados almacenados en un contrato inteligente de Binance Smart Chain (BSC) separado.
«Esta campaña destaca un cambio continuo en las técnicas de los atacantes, con métodos de distribución que se expanden más allá de los registros de paquetes tradicionales a plataformas como GitHub y flujos de trabajo de desarrollo emergentes asistidos por IA», dijo Jamf. «Al aprovechar un ecosistema confiable y técnicas de instalación estándar, los atacantes pueden introducir código malicioso en un entorno con una fricción mínima».
Source link
