Los investigadores de ciberseguridad han descubierto un paquete npm malicioso que viene con funciones sigilosas para inyectar código malicioso en aplicaciones de escritorio para carteras de criptomonedas como Atomic y Exodus en sistemas Windows.
El paquete, denominado nodejs-smtp , se hace pasar por la biblioteca de correo electrónico legítima correo de nodo con un eslogan, un estilo de página y descripciones README idénticos, lo que atrae a un total de 347 descargas ya que era subido al registro npm en abril de 2025 por un usuario llamado «nikotimon». Actualmente ya no está disponible.
«Al importarlo, el paquete utiliza las herramientas de Electron para descomprimir app.asar de Atomic Wallet, reemplazar un paquete del proveedor por una carga maliciosa, volver a empaquetar la aplicación y eliminar los rastros eliminando su directorio de trabajo», dijo Kirill Boychenko, investigador de Socket dijo .
El objetivo principal es sobrescribir la dirección del destinatario con carteras codificadas controladas por el actor de la amenaza, redirigiendo las transacciones de Bitcoin (BTC), Ethereum (ETH), Tether (USDT y TRX USDT), XRP (XRP) y Solana (SOL), actuando de manera efectiva como un clipper de criptomonedas.
Dicho esto, el paquete cumple con su funcionalidad declarada al actuar como un correo basado en SMTP en un intento de evitar levantar sospechas entre los desarrolladores.
El paquete sigue funcionando como un correo y presenta una interfaz desplegable compatible con nodemailer. Esa cobertura funcional reduce las sospechas, permite que las pruebas de las aplicaciones pasen y da a los desarrolladores pocos motivos para cuestionar la dependencia.
El desarrollo se produce meses después de ReversingLabs descubierto un paquete npm llamado «pdf-to-office» que lograba los mismos objetivos al desempaquetar los archivos «app.asar» asociados a las carteras Atomic y Exodus y modificar dentro de ellos un archivo JavaScript para introducir la función clipper.
«Esta campaña muestra cómo una importación rutinaria en una estación de trabajo para desarrolladores puede modificar discretamente una aplicación de escritorio independiente y persistir durante los reinicios», afirma Boychenko. «Al abusar del tiempo de importación, la ejecución y el empaquetado de Electron, una aplicación similar a la de correo se convierte en una pérdida de dinero que perjudica a Atomic y Exodus en sistemas Windows con problemas de seguridad».