Los investigadores de ciberseguridad han afectado tres paquetes de NPM maliciosos que están diseñados para dirigirse a la lectura Apple MacOS de Cursor, un editor de código fuente de inteligencia sintético (IA) popular.
«Disfrazado de herramientas de desarrollador que ofrece ‘la API del cursor más baratura’, estos paquetes roban credenciales de los usuarios, obtienen una carga útil cifrada de la infraestructura de amenazas controlada por el actor, sobrescribe el archivo Main.JS de Cursor y desactivó los actualizaciones automáticas para nutrir la persistencia», dijo el investigador de socket Kirill Boychenko.
Los paquetes en cuestión se enumeran a continuación –
Los tres paquetes continúan disponibles para descargar desde el registro NPM. «Aiide-Cur» se publicó por primera vez el 14 de febrero de 2025. Fue cargado por un heredero llamado «Aiide». La biblioteca NPM se describe como una «aparejo de recta de comandos para configurar la lectura macOS del editor cursor».
Los otros dos paquetes, según la firma de seguridad de la esclavitud de suministro de software, fueron publicados un día antaño por un actor de amenaza bajo el mote «GTR2018». En total, los tres paquetes se han descargado más de 3,200 veces hasta la época.
Las bibliotecas, una vez instaladas, están diseñadas para cosechar credenciales de cursor suministradas por los usuarios y obtener una carga útil de la próxima etapa de un servidor remoto («T.SW2031 (.) Com» o «API.aiide (.) XYZ»), que luego se usa para reemplazar un código específico de cursor razonable con logica maliciosa.
«SW-Cur» asimismo da el paso de deshabilitar el mecanismo de aggiornamento cibernética del cursor y terminar todos los procesos del cursor. Los paquetes de NPM luego proceden a reiniciar la aplicación para que el código parcheado entre en vigencia, otorgando al actor de amenaza para ejecutar código injusto en el interior del contexto de la plataforma.
Los hallazgos apuntan a una tendencia emergente en la que los actores de amenaza están utilizando paquetes Rogue NPM como una forma de introducir modificaciones maliciosas a otras bibliotecas o software legítimos ya instalados en los sistemas de desarrolladores.
Esto es significativo, no menos importante porque agrega una nueva capa de sofisticación al permitir que el malware persista incluso a posteriori de que las bibliotecas nefastas se hayan eliminado, lo que requiere que los desarrolladores realicen una instalación limpia del software podrido nuevamente.
«El compromiso basado en el parche es una apéndice nueva y poderosa al actor de amenaza Cúmulo que dirige las cadenas de suministro de código hendido: en cambio (o por otra parte) de deslizar el malware en un administrador de paquetes, los atacantes publican un paquete NPM aparentemente inofensivo que reescribe el código ya confiable en la máquina de la víctima», dijo Socket a The Hacker News.
«Al negociar en el interior de un proceso principal razonable, una biblioteca IDE o compartida, la dialéctica maliciosa hereda la confianza de la aplicación, mantiene la persistencia incluso a posteriori de que se elimina el paquete ofensivo y obtiene automáticamente cualquier privilegio que mantiene el software, desde tokens API y claves de firma para salir de ataque a la red».
«Esta campaña destaca una creciente amenaza de la esclavitud de suministro, y los actores de amenaza utilizan cada vez más parches maliciosos para comprometer el software almacén de confianza», dijo Boychenko.
El punto de saldo aquí es que los atacantes intentan explotar el interés de los desarrolladores en la IA, así como aquellos que buscan tarifas de uso más baratas para el ataque a los modelos de IA.
«El uso del actor de amenaza del consigna ‘La API de cursor más baratura’ probablemente se dirige a este orden, atrayendo a los usuarios con la promesa de ataque con descuento mientras implementa silenciosamente una puerta trasera», agregó el investigador.
Para contrarrestar tales novedosas amenazas de esclavitud de suministro, los defensores deben marcar paquetes que ejecutan scripts posteriores a la instalación, modifiquen archivos fuera de Node_modules o inicien llamadas de red inesperadas, y combinen esos indicadores con la fijación rigurosa de la lectura, el escaneo de dependencia en tiempo positivo y el monitoreo de la integridad de los archivos en dependencias críticas.
La divulgación se produce cuando Socket descubrió otros dos paquetes de NPM: PumpptoolforvolumeAndComment y Debugdogs, para entregar una carga útil ofuscada que desvía las claves de criptomonedas, los archivos de billetera y los datos comerciales relacionados con una plataforma de criptioconenciones señal Bullx On y MacOS Systems. Los datos capturados se exfiltran a un bot de telegrama.
Mientras que «PumpptoolforvolumeandComment» ha sido descargado 625 veces, «Debugdogs» ha recibido un total de 119 descargas desde que uno y otro fueron publicados a NPM en septiembre de 2024 por un heredero llamado «Olumideyo».
«Debugdogs simplemente invoca a PumpptoolforvolumeandComment, por lo que es una carga útil de infección secundaria conveniente», dijo el investigador de seguridad Kush Pandya. «Este patrón de ‘envoltorio’ se duplica en el ataque principal, lo que hace que sea más practicable enrollarse bajo múltiples nombres sin cambiar el código sagaz central».
«Este ataque enormemente dirigido puede pincharse billeteras y exponer credenciales confidenciales y datos comerciales en segundos».
Paquete NPM «Rand-User-Agent» comprometido en el ataque de la esclavitud de suministro
El descubrimiento asimismo sigue un noticia de Aikido sobre un ataque de la esclavitud de suministro que ha comprometido un paquete razonable de NPM llamado «agente de usuarios rand» para inyectar código que oculta un troyano de ataque remoto (rata). Se ha enemigo que las versiones 2.0.83, 2.0.84 y 1.0.110 son maliciosas.
Las versiones recientemente publicadas, según el investigador de seguridad Charlie Eriksen, están diseñadas para establecer comunicaciones con un servidor forastero para admitir comandos que le permitan cambiar el directorio de trabajo coetáneo, cargar archivos y ejecutar comandos de shell. El compromiso se detectó el 5 de mayo de 2025.
Al momento de escribir, el paquete NPM se ha afectado en desuso y el repositorio de GitHub asociado ya no es accesible, redirigiendo a los usuarios a una página 404.
Actualmente no está claro cómo se violó el paquete NPM para hacer las modificaciones no autorizadas. Se recomienda a los usuarios que se han actualizado a 2.0.83, 2.0.84 o 1.0.110 que lo reduzcan a la última lectura segura puyazo hace siete meses (2.0.82). Sin incautación, hacerlo no elimina el malware del sistema.
Desempolvar
WebScrapingapi, que mantiene la biblioteca, le dijo a SecurityWeek que los actores de amenaza desconocidos publicaron las versiones de paquetes maliciosos a posteriori de obtener un token de automatización obsoleto que no estaba protegido por la autenticación de dos factores.
