Los investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes maliciosos en npm y el repositorio Python Package Index (PyPI) vinculados a una falsa campaña con temática de reclutamiento orquestada por Lazarus Group, vinculado a Corea del Norte.

La campaña coordinada recibió el nombre en código graphalgo en referencia al primer paquete publicado en el registro npm. Se considera que está activo desde mayo de 2025.

«Se contacta con los desarrolladores a través de plataformas sociales como LinkedIn y Facebook, o a través de ofertas de trabajo en foros como Reddit», explica Karlo Zanki, investigador de ReversingLabs dijo en un informe. «La campaña incluye una historia bien orquestada sobre una empresa que participa en bolsas de criptomonedas y cadenas de bloques».

Cabe destacar que uno de los paquetes npm identificados, bigmathutils, atrajo más de 10 000 descargas después de que se publicara la primera versión no maliciosa y antes de que se publicara la segunda versión que contenía una carga maliciosa. Los nombres de los paquetes se enumeran a continuación:

npm -

  • grafalogo
  • graforitmo
  • estructura gráfica
  • graphlibcore
  • estructura de red
  • redes gráficas x
  • color terminal 256
  • kits gráficos
  • cadena gráfica
  • flujo de gráficos
  • órbita grafica
  • grafeta
  • hub gráfico
  • color terminal
  • grafrix
  • big numx
  • números grandes x
  • gran número X
  • big mathex
  • big mathlib
  • grandes herramientas matemáticas
  • enlace gráfico
  • big mathix
  • flujo de gráficos x

PyPI -

  • grafalogo
  • graficos
  • graphlibx
  • diccionario gráfico
  • flujo de gráficos
  • nodo gráfico
  • sincronización de gráficos
  • big pyx
  • bignum
  • big mathex
  • big mathix
  • grandes herramientas matemáticas

Como ocurre con muchos campañas centradas en el trabajo llevada a cabo por actores de amenazas norcoreanos, la cadena de ataque comienza con el establecimiento de una empresa falsa como Capital de Veltrix en el espacio de negociación de cadenas de bloques y criptomonedas, y luego establecer el espacio digital necesario para crear una ilusión de legitimidad.

adsense

Esto incluye registrar un dominio y crear una organización GitHub relacionada para alojar varios repositorios y usarlos en las evaluaciones de codificación. Se ha descubierto que los repositorios contienen proyectos basados en Python y JavaScript.

«El examen de estos repositorios no reveló ninguna funcionalidad maliciosa evidente», dijo Zanki. «Esto se debe a que la funcionalidad maliciosa no se introdujo directamente a través de los repositorios de entrevistas de trabajo, sino indirectamente, a través de dependencias alojadas en los repositorios de paquetes de código abierto npm y PyPI».

La idea detrás de la creación de estos repositorios es engañar a los candidatos que se postulan a sus ofertas de trabajo en los grupos de Reddit y Facebook para que ejecuten los proyectos en sus máquinas, instalando de manera efectiva la dependencia maliciosa y desencadenando la infección. En algunos casos, reclutadores aparentemente legítimos contactan directamente con las víctimas en LinkedIn.

En última instancia, los paquetes actúan como un conducto para implementar un troyano de acceso remoto (RAT) que periódicamente busca y ejecuta comandos desde un servidor externo. Admite varios comandos para recopilar información del sistema, enumerar archivos y directorios, enumerar los procesos en ejecución, crear carpetas, cambiar el nombre de los archivos, eliminar archivos y cargar/descargar archivos.

Curiosamente, la comunicación de comando y control (C2) está protegida por un mecanismo basado en tokens para garantizar que solo se acepten las solicitudes con un token válido. El enfoque era observado anteriormente en 2023 campañas vinculadas a un grupo de hackers norcoreano llamado Jade Sleet, también conocido como TraderTraitor o UNC4899.

Básicamente, funciona así: los paquetes envían datos del sistema como parte de un paso de registro al servidor C2, que responde con un token. Luego, este token se devuelve al servidor C2 en solicitudes posteriores para establecer que provienen de un sistema infectado ya registrado.

«El enfoque basado en tokens es similar [...] en ambos casos y, por lo que sabemos, no lo han utilizado otros actores en el malware alojado en repositorios públicos de paquetes», dijo Zanki a The Hacker News en ese momento.

Los hallazgos muestran que los actores de amenazas patrocinados por el estado norcoreano seguir envenenando ecosistemas de código abierto con paquetes maliciosos con la esperanza de robar datos confidenciales y realizar robos financieros, un hecho que demuestran las comprobaciones de la RAT para determinar si la extensión del navegador MetaMask está instalada en la máquina.

«La evidencia sugiere que se trata de una campaña muy sofisticada», dijo ReversingLabs. «Su modularidad, su carácter duradero, su paciencia a la hora de fomentar la confianza entre los distintos elementos de la campaña y la complejidad del malware cifrado y de múltiples capas demuestran que un agente de amenazas patrocinado por un estado está trabajando».

Se han encontrado más paquetes npm maliciosos

La revelación se produce cuando JFrog descubrió un paquete npm sofisticado y malicioso llamado «duer-js» publicado por un usuario llamado «luizaearlyx». Si bien la biblioteca afirma ser una utilidad para «hacer que la ventana de la consola sea más visible», contiene un ladrón de información de Windows llamado Bada Stealer.

Es capaz de recopilar tokens, contraseñas y cookies de Discord y completar automáticamente datos de Google Chrome, Microsoft Edge, Brave, Opera y Yandex Browser, detalles de monederos de criptomonedas e información del sistema. Luego, los datos se filtran a un webhook de Discord y al servicio de almacenamiento de archivos Gofile como respaldo.

enlaces

«Además de robar información del host infectado, el paquete malicioso descarga una carga útil secundaria», dijo el investigador de seguridad Guy Korolevski dijo . «Esta carga útil está diseñada para ejecutarse al inicio de la aplicación Discord Desktop, con funciones de actualización automática que permiten robar directamente de ella, incluidos los métodos de pago utilizados por el usuario».

También coincide con el descubrimiento de otra campaña de malware que utiliza npm como arma para extorsionar a los desarrolladores para que paguen criptomonedas durante la instalación del paquete mediante el comando «npm install». La campaña, grabada por primera vez el 4 de febrero de 2026, ha sido bautizada como XPACK ATTACK por OpenSourceMalware.

El flujo de paquetes maliciosos de duer-js, que secuestra el entorno Electron de Discord

Los nombres de los paquetes, todos cargados por un usuario llamado «dev.chandra_bose», se enumeran a continuación:

  • xpack por usuario
  • xpack por dispositivo
  • xpack-suit
  • suscripción a xpack
  • puerta de enlace xpack-arc
  • envío de vídeo de xpack
  • estilo test-npm
  • prueba de suscripción de xpack
  • paquete de pruebas-xdsfdsfsc

«A diferencia del malware tradicional que roba credenciales o ejecuta proyectiles inversos, este ataque abusa de forma innovadora de Código de estado HTTP 402 «Se requiere pago» para crear un muro de pagos aparentemente legítimo», dijo el investigador de seguridad Paul McCarty dijo . «El ataque bloquea la instalación hasta que las víctimas paguen 0,1 USDC/ETH a la billetera del atacante y, al mismo tiempo, recopilan los nombres de usuario de GitHub y las huellas dactilares de los dispositivos».

«Si se niegan a pagar, la instalación simplemente falla después de desperdiciar más de 5 minutos de su tiempo de desarrollo, y es posible que ni siquiera se den cuenta de que han encontrado malware en lugar de lo que parecía ser un muro de pago legítimo para acceder a los paquetes».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.