Los investigadores de ciberseguridad han descubierto un paquete Solapado NPM que viene con características sigilosas para inyectar código sagaz en aplicaciones de escritorio para billeteras de criptomonedas como Atomic y Exodus en los sistemas de Windows.
El paquete, llamado NodeJS-SMTP, se hace sobrevenir por el Legitimate Correo electrónico Biblioteca Nodemailer con un eslogan idéntico, un estilo de página y descripciones de lección, atrayendo un total de 347 descargas desde que fue subido al Registro NPM en abril de 2025 por un becario llamado «Nikotimon». Actualmente ya no está habitable.
«En la importación, el paquete utiliza herramientas de electrones para desempacar la aplicación Atomic Wallet.
El objetivo principal es sobrescribir la dirección del destinatario con billeteras con codificación dura controladas por el actor de amenazas, redirigir bitcoin (BTC), ethereum (ETH), ligado (USDT y TRX USDT), XRP (XRP) y transacciones de Solana (SOL), actuando efectivamente como un clipper de criptoria.
Dicho esto, el paquete ofrece su funcionalidad establecida al proceder como un correo basado en SMTP en un intento por evitar aumentar las sospechas de los desarrolladores.
El paquete todavía funciona como un correo y expone una interfaz de entrega compatible con NodEmailer. Esa cobertura utilitario reduce la sospecha, permite que las pruebas de aplicación pasen y brinde a los desarrolladores pocas razones para cuestionar la dependencia.
El exposición se produce meses posteriormente de que ReversingLabs descubrió un paquete NPM llamado «PDF-to-office» que alcanzó los mismos objetivos al desempacar los archivos «App.Acosar» asociados con billeteras atómicas y exodus y modificando internamente de ellos un archivo JavaScript para introducir la función de Clipper.
«Esta campaña muestra cómo una importación de rutina en una tiempo de trabajo de un desarrollador puede modificar silenciosamente una aplicación de escritorio separada y persistir en reinicios», dijo Boychenko. «Al propasarse de la ejecución del tiempo de importación y el envasado de electrones, un cartelero del aspecto parecido se convierte en un drenador de billetera que altera Atomic y Exodus en los sistemas de Windows comprometidos».
