Los investigadores de seguridad cibernética han descubierto un paquete bellaco llamado «OS-Info-Checker-ES6» que se disfraza de una utilidad de información del sistema activo para eliminar sigilosamente una carga útil de la próxima etapa en sistemas comprometidos.
«Esta campaña emplea una inteligente esteganografía basada en Unicode para ocultar su código bellaco auténtico y utiliza un enlace corto del evento calendario de Google como un dosificador dinámico para su carga útil final», dijo Veracode en un referencia compartido con Hacker News.
«OS-Info-Checker-ES6» fue publicado por primera vez en el Registro de NPM el 19 de marzo de 2025 por un agraciado llamado «Kim9123». Se ha descargado 2.001 veces a partir de la escritura. El mismo agraciado todavía ha cargado otro paquete NPM llamado «Skip-Tot» que enumera «OS-Info-Checker-ES6» como una dependencia. El paquete se ha descargado 94 veces.
Si aceptablemente las cinco versiones iniciales no exhibieron signos de exfiltración de datos o comportamiento bellaco, se ha antagónico que una iteración posterior cargada el 7 de mayo de 2025 incluye el código ofuscado en el archivo «preinstall.js» para analizar unicodeando los caracteres de «paso de uso privado» y extraer una carga útil de la próxima etapa.
El código bellaco, por su parte, está diseñado para contactar un enlace corto al evento del calendario de Google («Calendar.app (.) Google/
Sin secuestro, no se distribuyen cargas bártulos adicionales en este momento. Esto indica que la campaña sigue siendo un trabajo en progreso o actualmente inactivo. Otra posibilidad es que ya haya concluido, o que el servidor de comando y control (C2) está diseñado para contestar solo a máquinas específicas que cumplan ciertos criterios.
«Este uso de un servicio lícito y ampliamente confiable como Google Calendar como intermediario para meter el ulterior enlace C2 es una táctica inteligente para escamotear la detección y hacer que el sitio de las etapas iniciales del ataque sea más difícil», dijo Veracode.
La compañía de seguridad de la aplicación y Aikido, que todavía detallaron la actividad, señalaron por otra parte que otros tres paquetes han enumerado «OS-Info-Checker-ES6» como dependencia, aunque se sospecha que los paquetes dependientes son parte de la misma campaña,
- Panorama de dev-trerverr
- Municipio
- Visión
«El paquete OS-Info-Checker-ES6 representa una amenaza sofisticada y en proceso en el interior del ecosistema NPM», dijo Veracode. «El atacante demostró una progresión de pruebas aparentes a desplegar un malware de varias etapas».
La divulgación se produce cuando la compañía de seguridad de la dependencia de suministro de software se destacó a los escritos tipoquatting, el exceso de almacenamiento en gusto del repositorio de GO, la ofuscación, la ejecución de varias etapas, el descremado y el exceso de servicios legítimos y herramientas de desarrolladores como las seis técnicas adversas principales adoptadas por los actores de amenazas en el primer semestre de 2025.
«Para contrarrestar esto, los defensores deben centrarse en señales de comportamiento, como scripts inesperados posteriores a la instalación, sobrescrituras de archivos y tráfico de salida no competente, al tiempo que validan los paquetes de terceros antaño de su uso», dijeron los investigadores de seguridad Kirill Boychenko y Philipp Burckhardt.
«El exploración suspenso y dinámico, la fijación de la interpretación y la inspección cercana de los registros de CI/CD son esenciales para detectar dependencias maliciosas antaño de alcanzar la producción».
