Los investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes npm maliciosos diseñados para robar carteras de criptomonedas y datos confidenciales.

ReversingLabs está rastreando la actividad como Fantasma campaña. La lista de paquetes identificados, todos publicados por un usuario llamado mikilanjillo, se encuentra a continuación:

  • suite de rendimiento de reacción
  • núcleo del optimizador de estado de reacción
  • react-fast-utilities
  • ai-fast-auto-trader
  • pkgnewfefame1
  • clonador carbon-mac-copy
  • SDK de escritorio coinbase

«Los propios paquetes están suplantando la contraseña sudo con la que se ejecuta la última etapa, e intentan ocultar su verdadera funcionalidad y evitar ser detectados de una manera sofisticada: muestran registros de instalación de npm falsos», dijo Lucija Valentić, investigadora de amenazas de software de ReversingLabs, dijo en un informe compartido con The Hacker News.

Las bibliotecas Node.js identificadas, además de afirmar falsamente que descargan paquetes adicionales, insertan retrasos aleatorios para dar la impresión de que el proceso de instalación está en marcha. En un momento dado de este paso, se avisa al usuario de que la instalación se está produciendo un error debido a la falta de permisos de escritura en «/usr/local/lib/node_modules», que es la ubicación predeterminada de los paquetes Node.js instalados globalmente en sistemas Linux y macOS.

También indica a la víctima que introduzca su contraseña raíz o de administrador para continuar con la instalación. Si introduce la contraseña, el malware recupera silenciosamente el programa de descarga de la siguiente fase, que se dirige a un canal de Telegram para obtener la URL de la carga útil final y la clave necesaria para descifrarla.

El ataque culmina con el despliegue de un troyano de acceso remoto que es capaz de recopilar datos, atacar carteras de criptomonedas y esperar más instrucciones de un servidor externo.

adsense

ReversingLabs dijo que las acciones de actividad se superponen con un grupo de actividades documentado por JFrog con el nombre Garra fantasma a principios de este mes, aunque actualmente no se sabe si es obra del mismo actor de amenazas o de una campaña completamente nueva.

GhostClaw usa repositorios de GitHub y flujos de trabajo de IA para ofrecer macOS Stealer

Jamf Threat Labs, en un análisis publicado la semana pasada, afirmó que la campaña GhostClaw utiliza repositorios de GitHub y flujos de trabajo de desarrollo asistidos por inteligencia artificial (IA) para entregar cargas útiles que roban credenciales en macOS.

«Estos repositorios se hacen pasar por herramientas legítimas, incluidos bots comerciales, SDK y utilidades para desarrolladores, y están diseñados para que parezcan creíbles de un vistazo», dijo el investigador de seguridad Thijs Xhaflaire dijo . «Varios de los repositorios identificados han acumulado una participación significativa, en algunos casos superando los cientos de estrellas, lo que refuerza aún más su supuesta legitimidad».

En esta campaña, los repositorios se rellenan inicialmente con código benigno o parcialmente funcional y se dejan sin cambios durante un período prolongado para generar confianza entre los usuarios antes de introducir componentes maliciosos. En concreto, los repositorios incluyen un archivo README que guía a los desarrolladores a ejecutar un script de shell como parte del paso de instalación.

Una variante de estos repositorios incluye un archivo Skill.md, que se dirige principalmente a los flujos de trabajo orientados a la inteligencia artificial con el pretexto de instalar habilidades externas a través de agentes de IA como OpenClaw. Independientemente del método utilizado, el script shell inicia un proceso de infección en varias etapas que termina con el despliegue de un ladrón. La secuencia completa de acciones es la siguiente:

  • Identifica la arquitectura del host y la versión de macOS, comprueba si Node.js ya está presente e instala una versión compatible si es necesario. La instalación se lleva a cabo en un directorio controlado por el usuario para evitar que se generen señales de alerta.
  • Invoca «node scripts/setup.js» y «node scripts/postinstall.js», lo que hace que la ejecución pase a cargas útiles de JavaScript, lo que le permite robar las credenciales del sistema, entregar el malware GhostLoader al ponerse en contacto con un servidor de comando y control (C2) y eliminar los rastros de actividad maliciosa al borrar la Terminal.

El script también incluye una variable de entorno denominada «GHOST_PASSWORD_ONLY» que, cuando se establece en cero, presenta un flujo de instalación interactivo completo, con indicadores de progreso y mensajes de usuario. Si se establece en 1, el script lanza una ruta de ejecución simplificada que se centra principalmente en la recopilación de credenciales sin ningún elemento adicional en la interfaz de usuario.

Curiosamente, al menos en algunos casos, el script "postinstall.js" muestra un mensaje de éxito benigno que indica que la instalación se realizó correctamente y que los usuarios pueden configurar la biblioteca en sus proyectos ejecutando el comando «npx react-state-optimizer».

Según un informe de la empresa de seguridad en la nube Panther el mes pasado, «react-state-optimizer» es uno de los varios paquetes npm publicados por «mikilanjillo», que indican que los dos grupos de actividad son uno y el mismo -

  • react-query-core-utils
  • optimizador de estado de reacción
  • utilidades de reacción rápida
  • suite de rendimiento de reacción
  • ai-fast-auto-trader
  • clonador carbon-mac-copy
  • clonador de copias carbon-mac
  • pkgnewfefame
  • barra oscura
enlaces

«Los paquetes contienen un 'asistente de configuración' de la CLI que engaña a los desarrolladores para que introduzcan su contraseña sudo para realizar 'optimizaciones del sistema'», afirma la investigadora de seguridad Alessandra Rizzo. «La contraseña capturada se transfiere luego a un completo sistema de robo de credenciales que recopila las credenciales del navegador, las carteras de criptomonedas, las claves SSH, las configuraciones de los proveedores de servicios en la nube y los tokens de las herramientas para desarrolladores».

«Los datos robados se envían a bots de Telegram específicos de cada socio en función de un identificador de campaña integrado en cada cargador, con las credenciales almacenadas en el contrato inteligente del BSC y actualizadas sin modificar el malware en sí».

El paquete npm inicial captura las credenciales y obtiene la configuración de un canal de Telegram o de una página de Teletype.in disfrazada de documentación sobre la cadena de bloques para implementar el ladrón. Según Panther, el malware implementa un modelo de doble ingreso: el ingreso principal proviene del robo de credenciales retransmitidas a través de los canales de Telegram asociados, y el ingreso secundario proviene de redireccionamientos de URL de afiliados almacenados en un contrato inteligente independiente de Binance Smart Chain (BSC).

«Esta campaña pone de relieve un cambio continuo en el arte de los atacantes, en el que los métodos de distribución van más allá de los registros de paquetes tradicionales y llegan a plataformas como GitHub y a los flujos de trabajo de desarrollo emergentes asistidos por IA», afirma Jamf. «Al aprovechar los ecosistemas confiables y las prácticas de instalación estándar, los atacantes pueden introducir código malicioso en los entornos con una fricción mínima».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.