Los investigadores de ciberseguridad descubrieron código malicioso dentro de un paquete npm después del paquete malicioso como una dependencia de un proyecto del modelo de lenguaje a gran escala (LLM) Claude Opus de Anthropic.
El paquete en cuestión es «@validate-sdk/v2» y figura en npm como un kit de desarrollo de software (SDK) de utilidad para hash, validación, codificación/decodificación y generación aleatoria segura. Sin embargo, su función real es saquear secretos sensibles de un entorno comprometido. Este paquete tiene evidencia de haber sido codificado mediante vibración mediante inteligencia artificial (IA) generativa y se cargó por primera vez en el repositorio en octubre de 2025.
La campaña de malware recibió el nombre en código PromptMink de ReversingLabs y se vinculó a esta actividad como parte de una campaña más amplia lanzada por el actor de amenazas norcoreano conocido como Famous Chollima (también conocido como Shifty Corsair), que está detrás de la campaña de entrevistas contagiosas de larga duración y la estafa engañosa de los trabajadores de TI.
«La nueva campaña de malware (…) involucra paquetes contaminados introducidos en el compromiso del 28 de febrero con agentes comerciales autónomos», dijo el investigador de ReversingLabs Vladimir Pezo en un informe compartido con Hacker News. «Este compromiso fue escrito en coautoría por Claude Opus Large Language Model (LLM) de Anthropic. Permite a los atacantes acceder a las billeteras y fondos de criptomonedas de los usuarios».
Este paquete aparece como una dependencia de otro paquete npm llamado ‘@solana-launchpad/sdk’, que es utilizado por un tercer paquete llamado ‘openpaw-graveyard’. El paquete se describe como un «agente de IA autónomo» que utiliza el protocolo Tapestry para crear identidades sociales en cadena en la cadena de bloques Solana, intercambiar criptomonedas a través de Banker e interactuar con otros agentes en Moltbook.
Según ReversingLabs, el paquete generado por el agente de IA se agregó como una dependencia en una confirmación realizada en febrero de 2026, lo que resultó en que el paquete del agente ejecutara código malicioso y permitiera al atacante acceder a las billeteras y fondos criptográficos de las víctimas a través de credenciales comprometidas.
El ataque utiliza un enfoque paso a paso, donde el paquete de primer nivel no contiene ningún código malicioso, pero el paquete de segundo nivel se importa con funcionalidad maliciosa real. Si se descubre o elimina un segundo clúster de npm, se reemplazará inmediatamente.
Algunos de los paquetes de nivel 1 identificados se enumeran a continuación.
@solana-launchpad/sdk @meme-sdk/trade @validate-ethereum-address/core @solmasterv3/solana-metadata-sdk @pumpfun-ipfs/sdk @solana-ipfs/sdk
«Han implementado varias funciones relacionadas con las criptomonedas», explicó ReversingLabs. «Y cada paquete enumera muchas dependencias, la mayoría de las cuales son paquetes npm populares con millones o miles de millones de descargas, como axios y bn.js. Sin embargo, una pequeña cantidad de dependencias son paquetes maliciosos de la segunda capa».
Los atacantes utilizan una variedad de técnicas para ayudar a que los paquetes maliciosos evadan la detección. Estos incluyen la creación de versiones maliciosas de funciones que ya existen en los paquetes populares enumerados. Otra técnica utiliza typosquatting, donde el nombre y la descripción imitan una biblioteca canónica.
La primera versión del paquete publicada en npm como parte de esta campaña se remonta a septiembre de 2025, cuando se cargó «@hash-validator/v2» en el registro. La decisión de dividir el ladrón de criptomonedas en dos partes (un cebo benigno que descarga el malware real) puede haber ayudado a evadir la detección y ocultar la verdadera escala del ataque.
En particular, JFrog documentó algunos aspectos de esta actividad dos meses después, destacando el uso de dependencias transitivas por parte de los atacantes para ejecutar código malicioso en los sistemas de los desarrolladores y desviar datos valiosos.
Durante este tiempo, la campaña ha sufrido varios cambios, incluso apuntando al índice de paquetes Python (PyPI) al impulsar un paquete malicioso (“scraper-npm”) con la misma funcionalidad en febrero de 2026. Tan recientemente como el mes pasado, se observó a los atacantes estableciendo acceso remoto persistente a través de SSH y utilizando cargas útiles compiladas con Rust para exfiltrar proyectos completos, incluido el código fuente y otra propiedad intelectual, de los sistemas comprometidos.
La versión inicial de este malware es un ladrón ofuscado basado en JavaScript que escanea de forma recursiva el directorio de trabajo actual en busca de archivos .env o .json y prepara la filtración a una URL de Vercel (‘ipfs-url-validator.vercel.app’). La URL de Vercel (“ipfs-url-validator.vercel.app”) es una plataforma que Famous Chollima ha explotado repetidamente en sus campañas.
En iteraciones posteriores, PromptMink se integró en forma de aplicación ejecutable única (SEA) de Node.js, pero con el notable inconveniente de aumentar el tamaño de la carga útil de solo 5,1 KB a aproximadamente 85 MB. Se dice que esto llevó a los actores de amenazas a utilizar NAPI-RS para crear complementos de Node.js compilados con Rust.
La evolución del malware desde un simple ladrón de información hasta un recolector multiplataforma especializado dirigido a Windows, Linux y macOS que puede abrir puertas traseras SSH y recolectar proyectos completos muestra que los actores de amenazas norcoreanos continúan apuntando al ecosistema de código abierto apuntando a los desarrolladores en el espacio Web3.
El famoso Chollima «aprovecha el código generado por IA y las estrategias de empaquetado de múltiples capas para evadir la detección y engañar a los asistentes de codificación automatizados de manera más efectiva que los desarrolladores humanos», agregó ReversingLabs.
La aparición de comerciantes infecciosos
Este descubrimiento coincidió con el descubrimiento de un paquete npm malicioso llamado «express-session-js» que se cree que está vinculado a la campaña Contagious Interview. Esta biblioteca actúa como un conducto para que el cuentagotas recupere la carga útil ofuscada de la segunda etapa de JSON Keeper, un servicio de pegado.
«La desofuscación estática de la carga útil de la Etapa 2 reveló un completo troyano de acceso remoto (RAT) y un ladrón de información que se conecta a 216(.)126(.)237(.)71 a través de Socket.IO. El ataque incluye funcionalidades como robo de credenciales de navegador, extracción de billetera de criptomonedas, captura de pantalla, monitoreo del portapapeles, registro de teclas y control remoto de mouse/teclado». SafeDep señaló este mes.
Curiosamente, el uso de paquetes legítimos como «socket.io-client» para comunicación de comando y control (C2), «screenshot-desktop» para captura de pantalla, «sharp» para compresión de imágenes y «clipboardy» para acceso al portapapeles se superpone con el uso de OtterCookie, un conocido malware de exfiltración que ha estado implicado en esta campaña.
Lo nuevo esta vez es la adición del paquete @nut-tree-fork/nut-js para el control del mouse y el teclado, lo que indica un esfuerzo más amplio para actualizar la funcionalidad RAT para facilitar el control interactivo de los hosts infectados.
Cadena de implementación de OtterCookie
OtterCookie ha sido testigo de su propia maduración, distribuyéndose a través de un proyecto de ajedrez 3D de código abierto troyanizado alojado en Bitbucket y paquetes npm maliciosos como ‘gemini-ai-checker’, ‘express-flowlimit’ y ‘chai-extensions-extras’.
El tercer método adoptó el enfoque de la muñeca matrioska como parte de una campaña llamada Contagious Trader. El ataque comienza descargando un paquete contenedor benigno (por ejemplo, «bjs-biginteger»), luego procede a descargar una dependencia maliciosa (por ejemplo, «bjs-lint-builder») y finalmente instala un ladrón.
Duplicación de entrevista contagiosa, comerciante contagioso y graphalgo
«La reciente campaña organizada por Shifty Corsair demuestra la creciente amenaza de las operaciones cibernéticas alineadas con el Estado norcoreano», afirmó el investigador de Bluevoyant, Kurt Buchanan. «La rápida evolución de la codificación estática Obfuscator.io a la ofuscación personalizada rotativa dinámicamente y la explotación de la infraestructura C2 alojada en Vercel demuestra la maduración de las capacidades operativas».
Graphalgo utiliza empresas falsas para eliminar RAT
Este avance es significativo porque los atacantes están vinculados simultáneamente a otra campaña en curso llamada Grafirgo, que utiliza empresas falsas para atraer a los desarrolladores y utiliza entrevistas de trabajo y pruebas de codificación falsas para entregar paquetes npm maliciosos a los sistemas.
Esta campaña se desarrollará de la siguiente manera: los piratas informáticos utilizan tácticas de ingeniería social en plataformas de búsqueda de empleo y redes sociales para engañar a objetivos potenciales para que descarguen proyectos alojados en GitHub como parte de una evaluación. Estos proyectos contienen dependencias de paquetes maliciosos publicados en npm o PyPI, y su objetivo principal es implementar troyanos de acceso remoto (RAT) en las máquinas.
Para llevar a cabo un ataque exitoso, los operadores crean una red de empresas falsas y configuran perfiles convincentes en plataformas como GitHub, LinkedIn y X para que las empresas falsas parezcan legítimas y la estafa sea más convincente. En el caso de Blocmerce, los atacantes llegaron incluso a registrar una sociedad de responsabilidad limitada (LLC) con el mismo nombre en el estado estadounidense de Florida en agosto de 2025. Los nombres de las empresas utilizadas para el phishing frontal son:
Veltrix Capital Blockmerce Bridgers Finanzas
«Estas organizaciones están vinculadas a varias organizaciones de GitHub asociadas con empresas de blockchain que han estado activas en GitHub desde junio de 2025», dijo Carlo Zanchi, investigador de seguridad de ReversingLabs. «Su propósito es dar credibilidad a ofertas de trabajo falsas y realizar tareas de entrevistas falsas».
También se ha observado que versiones recientes de la campaña utilizan diferentes técnicas para alojar dependencias maliciosas. En lugar de publicar en npm o PyPI, estos se alojan como artefactos de lanzamiento en un repositorio de GitHub, presumiblemente para minimizar el riesgo de detección.
«Las referencias a dependencias maliciosas están enterradas en la lista de dependencias transitivas. El campo resuelto en el archivo package-lock.json le dice al administrador de paquetes dónde obtener las dependencias para un paquete en particular», señaló ReversingLabs. «Mientras que todas las demás dependencias se extraen del registro oficial de npm, la dependencia maliciosa se extrae directamente de un artefacto de lanzamiento ubicado en un repositorio GitHub diseñado».
La lista de paquetes npm se encuentra a continuación:
gráfico – base de gráfico dinámico – biblioteca de gráficos js – js
El ataque culmina con la implementación de una RAT que puede recopilar información del sistema, enumerar archivos y directorios, enumerar procesos en ejecución, crear carpetas, cambiar el nombre de archivos, eliminar archivos y cargar/descargar archivos.
En las últimas semanas, un grupo de amenazas patrocinado por el Estado norcoreano rastreado como UNC1069 también ha sido vinculado a un compromiso de uno de los paquetes npm más populares, «axios», destacando la continua amenaza que enfrentan los repositorios de código abierto de Pyongyang.
Desde entonces, los atacantes detrás de la infracción han publicado un nuevo paquete npm llamado «csec-crypto-utils» que contiene una «carga útil actualizada» que reemplaza el cuentagotas RAT con un ladrón de datos que aísla las claves de AWS, los tokens de GitHub y los archivos de configuración .npmrc en un servidor externo («csec-c2-server.onrender(.)com»).
En un informe que detalla la violación de la cadena de suministro, Hunt.io vinculó el ataque a un subgrupo de Lazarus Group conocido como BlueNoroff, citando superposición de infraestructura y similitudes con NukeSped RAT.
«El uso de tecnología y tácticas avanzadas por parte de los actores de amenazas, así como su sorprendente nivel de preparación de campaña (establecimiento de Florida LLC) y su capacidad de adaptación, hacen de los actores de amenazas norcoreanos la amenaza número uno para las organizaciones y desarrolladores individuales centrados en las criptomonedas», dijo ReversingLabs.
Source link
