Investigadores de ciberseguridad han descubierto un conjunto de 10 paquetes npm maliciosos diseñados para proporcionar robo de información dirigido a sistemas Windows, Linux y macOS.
«El malware utiliza cuatro capas de ofuscación para ocultar su carga útil, muestra un CAPTCHA falso para parecer legítimo, toma huellas digitales de la víctima por dirección IP y descarga un ladrón de información del paquete PyInstaller de 24 MB que recopila credenciales de conjuntos de claves del sistema, navegadores y servicios de autenticación en Windows, Linux y macOS», dijo Kush Pandya, un investigador de seguridad de sockets.
El paquete npm se cargó en el registro el 4 de julio de 2025 y ha acumulado más de 9900 descargas en total.
deezcord.js dezcord.js dizcordjs etherdjs ethesjs ethetsjs nodemonjs reaccionar router-dom.js mecanografiadojs zustand.js
La operación de robo de credenciales de varios pasos se manifestó en forma de varios paquetes de typeposquatting que se hacían pasar por bibliotecas npm populares como TypeScript, discord.js, ethers.js, nodemon, react-router-dom y zustand.
Una vez instalado el malware, muestra un mensaje CAPTCHA falso y muestra resultados de apariencia auténtica que imitan la instalación de paquetes legítimos, dando la impresión de que el proceso de instalación avanza como se esperaba. Sin embargo, en segundo plano, el paquete obtiene la dirección IP de la víctima y la envía a un servidor externo (‘195.133.79(.)43’) para comenzar a eliminar el malware principal.
Para cada paquete, tras la instalación, un gancho posterior a la instalación activa automáticamente una funcionalidad maliciosa que inicia un script llamado «install.js» que detecta el sistema operativo de la víctima y lanza una carga útil ofuscada («app.js») en una nueva ventana del símbolo del sistema (Windows), Terminal GNOME o emulador x-terminal (Linux) o Terminal (macOS).
«Al generar una nueva ventana de terminal, el malware se ejecuta independientemente del proceso de instalación de npm», señala Pandya. «Durante la instalación, cuando el desarrollador mira el dispositivo, puede ver aparecer brevemente una nueva ventana, pero el malware borra rápidamente la ventana para evitar cualquier sospecha».
El JavaScript contenido en «app.js» está oculto por cuatro capas de ofuscación diseñadas para resistir el análisis, incluido el cifrado XOR con claves generadas dinámicamente, codificación URL de la cadena de carga útil y uso de aritmética hexadecimal y octal para oscurecer el flujo del programa.
El objetivo final del ataque es recuperar y ejecutar un ladrón de información integral («data_extracter») desde el mismo servidor que tiene la capacidad de escanear minuciosamente la máquina del desarrollador en busca de secretos, tokens de autenticación, credenciales y cookies de sesión del navegador web, archivos de configuración y claves SSH.
El binario ladrón también incluye una implementación específica de la plataforma para extraer credenciales del conjunto de claves del sistema utilizando la biblioteca npm del conjunto de claves. La información recopilada se comprime en un archivo ZIP y se filtra a un servidor.
«Los llaveros del sistema almacenan credenciales para servicios críticos como clientes de correo electrónico (Outlook, Thunderbird), herramientas de sincronización de almacenamiento en la nube (Dropbox, Google Drive, OneDrive), conexiones VPN (Cisco AnyConnect, OpenVPN), administradores de contraseñas, frases de contraseña SSH, cadenas de conexión de bases de datos y otras aplicaciones que se integran con el almacén de credenciales del sistema operativo», dijo Socket.
«Al apuntar directamente al conjunto de claves, el malware elude la seguridad a nivel de aplicación y recopila las credenciales almacenadas en forma descifrada. Estas credenciales brindan acceso instantáneo al correo electrónico corporativo, almacenamiento de archivos, redes internas y bases de datos operativas».
Source link
