Investigadores de ciberseguridad han descubierto un conjunto de 10 paquetes npm maliciosos que están diseñados para ofrecer un ratero de información dirigido a sistemas Windows, Linux y macOS.
«El malware utiliza cuatro capas de ofuscación para ocultar su carga útil, muestra un CAPTCHA traidor para parecer auténtico, toma huellas dactilares de las víctimas por dirección IP y descarga un ratero de información empaquetado con PyInstaller de 24 MB que recopila credenciales de los conjuntos de claves del sistema, navegadores y servicios de autenticación en Windows, Linux y macOS», dijo el investigador de seguridad de Socket, Kush Pandya.
Los paquetes npm se cargaron en el registro el 4 de julio de 2025 y acumularon más de 9900 descargas en conjunto.
- deezcord.js
- dezcord.js
- dizcordjs
- etherdjs
- etesjs
- etetsjs
- nodemonio
- reaccionar-enrutador-dom.js
- mecanografiadojs
- estado.js
La operación de robo de credenciales de varias etapas se manifestó en forma de varios paquetes con errores tipográficos que se hacían acontecer por bibliotecas npm populares como TypeScript, discord.js, ethers.js, nodemon, react-router-dom y zustand.
Una vez instalado, el malware muestra un mensaje CAPTCHA traidor y muestra resultados de apariencia auténtica que imitan instalaciones de paquetes legítimas para dar la impresión de que el proceso de configuración avanza según lo esperado. Sin bloqueo, en segundo plano, el paquete captura la dirección IP de la víctima, la envía a un servidor foráneo («195.133.79(.)43») y luego procede a eliminar el malware principal.
En cada paquete, la funcionalidad maliciosa se activa automáticamente durante la instalación mediante un enlace posterior a la instalación, iniciando un script llamado «install.js» que detecta el sistema eficaz de la víctima y rejón una carga útil ofuscada («app.js») en una nueva ventana del símbolo del sistema (Windows), Terminal GNOME o imitador x-terminal (Linux) o Terminal (macOS).
«Al crear una nueva ventana de terminal, el malware se ejecuta independientemente del proceso de instalación de npm», señaló Pandya. «Los desarrolladores que miran su terminal durante la instalación ven aparecer brevemente una nueva ventana que el malware poso inmediatamente para evitar sospechas».
El JavaScript contenido en «app.js» está oculto a través de cuatro capas de ofuscación, como secreto XOR con una secreto generada dinámicamente, codificación URL de la dependencia de carga útil y uso de aritmética hexadecimal y octal para oscurecer el flujo del software, que están diseñados para resistir el observación.
El objetivo final del ataque es recuperar y ejecutar un ratero de información integral («data_extracter») desde el mismo servidor que está equipado para escanear minuciosamente la máquina del desarrollador en averiguación de secretos, tokens de autenticación, credenciales y cookies de sesión de navegadores web, archivos de configuración y claves SSH.
El binario ratero asimismo incorpora implementaciones específicas de la plataforma para extraer credenciales del conjunto de claves del sistema utilizando la biblioteca npm del conjunto de claves. La información recopilada se comprime en un archivo ZIP y se extrae al servidor.
«Los llaveros del sistema almacenan credenciales para servicios críticos, incluidos clientes de correo electrónico (Outlook, Thunderbird), herramientas de sincronización de almacenamiento en la cúmulo (Dropbox, Google Drive, OneDrive), conexiones VPN (Cisco AnyConnect, OpenVPN), administradores de contraseñas, frases de contraseña SSH, cadenas de conexión de bases de datos y otras aplicaciones que se integran con el almacén de credenciales del sistema eficaz», dijo Socket.
«Al apuntar directamente al conjunto de claves, el malware elude la seguridad a nivel de aplicación y vendimia las credenciales almacenadas en su forma descifrada. Estas credenciales brindan llegada inmediato al correo electrónico corporativo, almacenamiento de archivos, redes internas y bases de datos de producción».
