Los investigadores de ciberseguridad han descubierto cuatro nuevos paquetes npm que contienen malware para robar información, uno de los cuales es un clon del gusano Shai-Hulud de código abierto de TeamPCP.

la lista de paquetes identificados está debajo –

• plantilla de tiza (825 Descargas)
• @deadcode09284814/axios-util (284 descargas)
• axois-utils (963 Descargas)
• color-style-utils (934 Descargas)

«Uno de los paquetes (chalk-tempalte) contiene un clon directo del código fuente Shai-Hulud que TeamPCP filtró la semana pasada, probablemente inspirado como parte de la competencia de ataque a la cadena de suministro que se publicó en BreachForums no mucho después», dijo Moshe Siman Tov Bustan de OX Security.

Curiosamente, las cargas útiles maliciosas integradas en los cuatro paquetes de npm son diferentes, a pesar de haber sido publicadas por el mismo usuario de npm, «código muerto09284814.» Al momento de escribir este artículo, las cuatro bibliotecas todavía están disponibles para descargar desde npm.

Un análisis de los paquetes ha revelado que «axois-utils» está diseñado para ofrecer una botnet de denegación de servicio distribuida (DDoS) basada en Golang llamada Phantom Bot, con capacidades para inundar un sitio web objetivo utilizando los protocolos HTTP, TCP y UDP. También establece persistencia en máquinas con Windows y Linux agregando la carga útil a la carpeta de Inicio de Windows y creando una tarea programada.

Los tres restantes lanzan una carga útil de ladrón en sistemas comprometidos. De los tres paquetes, el paquete «chalk-tempalte» contiene un clon del gusano Shai-Hulud lanzado por TeamPCP.

«El actor tomó el código y, casi sin ningún cambio, cargó una versión funcional con su propio servidor C2 y clave privada en npm», dijo OX Security. «Las credenciales robadas se envían al servidor C2 remoto: 87e0bbc636999b.lhr[.]vida»

Además, los datos se exportan a un nuevo repositorio público de GitHub utilizando el token de GitHub robado a través de la API. El repositorio recibe la descripción «Ha aparecido un Mini Sha1-Hulud».

Los otros dos paquetes npm, «@deadcode09284814/axios-util» y «color-style-utils», tienen una funcionalidad más sencilla que desvía claves SSH, variables de entorno, credenciales de nube, información del sistema, dirección IP y datos de billetera de criptomonedas a «80.200.28[.]28:2222» y «edcf8b03c84634.lhr[.]vida», respectivamente.

«Los actores de amenazas se están motivando aún más para llevar a cabo la cadena de suministro y la vulneración tipográfica, a medida que los ataques se vuelven más fáciles de realizar con el código Shai-Hulud convirtiéndose en fuente abierta», dijo OX Security. «Ahora estamos viendo a un solo actor con múltiples técnicas y tipos de ladrones de información difundiendo código malicioso en npm, ya que es sólo la primera fase de una próxima ola de ataques a la cadena de suministro».

Los usuarios que hayan descargado los paquetes deben desinstalarlos inmediatamente, buscar y eliminar configuraciones maliciosas de IDE y agentes de codificación como Claude Code, rotar secretos, buscar repositorios de GitHub que contengan la cadena «Ha aparecido un Mini Sha1-Hulud» y bloquear el acceso a la red a dominios sospechosos.