Los investigadores de ciberseguridad han descubierto un conjunto de 10 paquetes npm maliciosos que están diseñados para ofrecer un ladrón de información dirigido a los sistemas Windows, Linux y macOS.
«El malware utiliza cuatro capas de ofuscación para ocultar su carga útil, muestra un CAPTCHA falso para parecer legítimo, toma las huellas dactilares de las víctimas por dirección IP y descarga un robador de información de 24 MB empaquetado en PyInstaller que recopila las credenciales de los conjuntos de claves del sistema, los navegadores y los servicios de autenticación de Windows, Linux y macOS», dijo Kush Pandya, investigador de seguridad de Socket dijo .
Los paquetes npm se subieron al registro el 4 de julio de 2025 y acumularon más de 9.900 descargas en conjunto -
- deezcord.js
- dezcord.js
- discordia
- etherdjs
- ethesis
- ethetsjs
- no hay demonios
- react-router-dom.js
- typescript.js
- zustand.js
La operación de robo de credenciales en varias etapas se manifestó en forma de varios paquetes con errores tipográficos que se hacían pasar por bibliotecas npm populares, como TypeScript, discord.js, ethers.js, nodemon, react-router-dom y zustand.
Una vez instalado, el malware muestra un mensaje CAPTCHA falso y muestra un resultado de aspecto auténtico que imita las instalaciones de paquetes legítimos para dar la impresión de que el proceso de configuración avanza según lo esperado. Sin embargo, en segundo plano, el paquete captura la dirección IP de la víctima, la envía a un servidor externo («195.133.79 [.] 43") y, a continuación, elimina el malware principal.
En cada paquete, la funcionalidad maliciosa se activa automáticamente tras la instalación mediante un enlace posterior a la instalación, que lanza un script llamado "install.js" que detecta el sistema operativo de la víctima y lanza una carga útil ofuscada (» app.js «) en una nueva ventana de línea de comandos (Windows), Terminal de GNOME o x-terminal-emulator (Linux) o Terminal (macOS).
«Al generar una nueva ventana de terminal, el malware se ejecuta independientemente del proceso de instalación de npm», señaló Pandya. «Los desarrolladores que echan un vistazo a su terminal durante la instalación ven que aparece brevemente una nueva ventana, que el malware borra inmediatamente para evitar sospechas».
El JavaScript contenido en "app.js" se oculta mediante cuatro capas de ofuscación, como el cifrado XOR con una clave generada dinámicamente, la codificación URL de la cadena de carga útil y el uso de aritmética hexadecimal y octal para ocultar el flujo del programa, que están diseñadas para resistir el análisis.
El objetivo final del ataque es obtener y ejecutar un sistema exhaustivo de robo de información («data_extracter») desde el mismo servidor que está equipado para escanear minuciosamente la máquina del desarrollador en busca de secretos, tokens de autenticación, credenciales y cookies de sesión de los navegadores web, los archivos de configuración y las claves SSH.
El binario Stealer también incorpora implementaciones específicas de la plataforma para extraer las credenciales del conjunto de claves del sistema mediante el biblioteca npm de keyring . La información recopilada se comprime en un archivo ZIP y se filtra al servidor.
«Los llaveros del sistema almacenan las credenciales de los servicios críticos, incluidos los clientes de correo electrónico (Outlook, Thunderbird), las herramientas de sincronización del almacenamiento en la nube (Dropbox, Google Drive, OneDrive), las conexiones VPN (Cisco AnyConnect, OpenVPN), los gestores de contraseñas, las frases de acceso SSH, las cadenas de conexión a bases de datos y otras aplicaciones que se integran con el almacén de credenciales del sistema operativo», afirma Socket.
«Al atacar directamente el conjunto de claves, el malware elude la seguridad a nivel de aplicación y recopila las credenciales almacenadas en su forma descifrada. Estas credenciales proporcionan acceso inmediato al correo electrónico corporativo, al almacenamiento de archivos, a las redes internas y a las bases de datos de producción».