Los investigadores de ciberseguridad han descubierto 36 paquetes maliciosos en el registro npm que están disfrazados de complementos de Strapi CMS pero vienen con diferentes cargas útiles para facilitar la explotación de Redis y PostgreSQL, implementar shells inversos, recopilar credenciales y colocar un implante persistente.

«Cada paquete contiene tres archivos (paquete.json, index.js, postinstall.js), no tiene descripción, repositorio ni página de inicio, y utiliza la versión 3.6.8 para aparecer como un complemento comunitario maduro de Strapi v3», SafeDep dicho.

Todos los paquetes npm identificados siguen la misma convención de nomenclatura, comenzando con «strapi-plugin-» y luego frases como «cron», «base de datos» o «servidor» para engañar a los desarrolladores desprevenidos para que los descarguen. Vale la pena señalar que los complementos oficiales de Strapi tienen su alcance en «@strapi/».

Los paquetes, subidos por cuatro cuentas de títeres de calcetines «umarbek1233», «kekylf12», «tikeqemif26» y «umar_bektembiev1» durante un período de 13 horas, se enumeran a continuación:

• strapi-plugin-cron
• strapi-plugin-config
• servidor-plugin-strapi
• base de datos-plugin-strapi
• strapi-plugin-núcleo
• ganchos-plugin-strapi
• monitor-plugin-strapi
• eventos-plugin-strapi
• registrador-plugin-strapi
• strapi-plugin-salud
• sincronización-plugin-strapi
• semilla-plugin-strapi
• correa-plugin-locale
• formulario-plugin-strapi
• strapi-plugin-notificar
• strapi-plugin-api
• strapi-plugin-sitemap-gen
• complemento-strapi-herramientas-nordicas
• strapi-plugin-nordica-sync
• strapi-plugin-nordica-cms
• complemento-strapi-nordica-api
• complemento-strapi-nordica-recon
• strapi-plugin-nordica-stage
• complemento-strapi-nordica-vhost
• complemento-strapi-nordica-deep
• complemento-strapi-nordica-lite
• complemento-strapi-nordica
• complemento-strapi-finseven
• strapi-plugin-hextest
• complemento-strapi-cms-herramientas
• strapi-plugin-sincronización-de-contenido
• herramientas-depuración-plugin-strapi
• control-de-estado-del-plugin-strapi
• strapi-plugin-guardarian-ext
• complemento-strapi-uuid-avanzado
• complemento-strapi-blurhash

Un análisis de los paquetes revela que el código malicioso está incrustado en el enlace del script postinstalación, que se ejecuta en «npm install» sin requerir ninguna interacción por parte del usuario. Se ejecuta con los mismos privilegios que los del usuario instalador, lo que significa que abusa del acceso raíz dentro de entornos CI/CD y contenedores Docker.

La evolución de las cargas útiles distribuidas como parte de la campaña es la siguiente:

• Utilice una instancia de Redis accesible localmente para la ejecución remota de código inyectando una entrada crontab (también conocida como tabla cron) para descargar y ejecutar un script de shell desde un servidor remoto cada minuto. El script de shell escribe un shell web PHP y un shell inverso de Node.js a través de SSH en el directorio de cargas públicas de Strapi. También intenta escanear el disco en busca de secretos (por ejemplo, Elasticsearch y frases iniciales de billeteras de criptomonedas) y extraer un módulo API Guardarian.
• Combine la explotación de Redis con el escape del contenedor Docker para escribir cargas útiles del shell en el host fuera del contenedor. También inicia un shell inverso directo de Python en el puerto 4444 y escribe un activador de shell inverso en el directorio node_modules de la aplicación a través de Redis.
• Implemente un shell inverso, escriba un descargador de shell a través de Redis y ejecute el archivo resultante.
• Escanee el sistema en busca de variables de entorno y cadenas de conexión de bases de datos PostgreSQL.
• Un recolector de credenciales ampliado y una carga útil de reconocimiento para recopilar volcados de entorno, configuraciones de Strapi, extracción de bases de datos de Redis mediante la ejecución de los comandos INFO, DBSIZE y KEYS, mapeo de topología de red y secretos de Docker/Kubernetes, claves criptográficas y archivos de billetera de criptomonedas.
• Lleve a cabo la explotación de la base de datos PostgreSQL conectándose a la base de datos PostgreSQL del objetivo utilizando credenciales codificadas y consultando tablas específicas de Strapi en busca de secretos. También descarta patrones coincidentes relacionados con criptomonedas (por ejemplo, billetera, transacción, depósito, retiro, activo, frío y saldo) e intenta conectarse a seis bases de datos de Guardarian. Esto indica que el actor de la amenaza ya está en posesión de los datos, obtenidos ya sea mediante un compromiso previo o por algún otro medio.
• Implementar un implante persistente diseñado para mantener el acceso remoto a un nombre de host específico («prod-strapi»).
• Facilite el robo de credenciales escaneando rutas codificadas y generando un shell inverso persistente.

«Las ocho cargas útiles muestran una narrativa clara: el atacante comenzó agresivamente (Redis RCE, Docker escape), descubrió que esos enfoques no funcionaban, giró hacia el reconocimiento y la recopilación de datos, utilizó credenciales codificadas para el acceso directo a la base de datos y finalmente se decidió por el acceso persistente con robo de credenciales dirigido», dijo SafeDep.

La naturaleza de las cargas útiles, combinada con el enfoque en los activos digitales y el uso de credenciales de bases de datos y nombres de host codificados, plantea la posibilidad de que la campaña fuera un ataque dirigido contra una plataforma de criptomonedas. Se recomienda a los usuarios que hayan instalado cualquiera de los paquetes antes mencionados que asuman un compromiso y roten todas las credenciales.

El descubrimiento coincide con el descubrimiento de varios ataques a la cadena de suministro dirigidos al ecosistema de código abierto.

• Una cuenta de GitHub llamada «ezmtebo» ha enviado más de 256 solicitudes de extracción en varios repositorios de código abierto que contienen una carga útil de exfiltración de credenciales. «Roba secretos a través de registros de CI y comentarios de relaciones públicas, inyecta flujos de trabajo temporales para volcar valores secretos, aplica automáticamente etiquetas para evitar las puertas pull_request_target y ejecuta un escáner de fondo/procesamiento durante 10 minutos después de que sale el script principal», dijo SafeDep.
• Un secuestro de «protocolo de desarrollo,» una organización verificada de GitHub, para distribuir robots comerciales maliciosos de Polymarket con dependencias npm con errores tipográficos («ts-bign» y «levex-refa» o «big-nunber» y «lint-builder») que roban claves privadas de billetera, filtran archivos confidenciales y abren una puerta trasera SSH en la máquina de la víctima. Mientras que «levex-refa» funciona como un ladrón de credenciales, «lint-builder» instala el SSH backdoor. Tanto «ts-bign» como «big-nunber» están diseñados para entregar «levex-refa» y «lint-builder», respectivamente, como una dependencia transitiva.
• Un compromiso del popular paquete Emacs «.kubernetes-el/kubernetes-el,» que explotó la vulnerabilidad Pwn Request en su flujo de trabajo de GitHub Actions usando el disparador pull_request_target para robar el GITHUB_TOKEN del repositorio, filtrar secretos de CI/CD, desfigurar el repositorio e inyectar código destructivo para eliminar casi todos los archivos del repositorio.
• Un compromiso de lo legítimo «xygeni/xygeni-acción» Flujo de trabajo de GitHub Actions que utiliza credenciales de mantenedor robadas para colocar una puerta trasera de shell inverso. Desde entonces, Xygeni ha implementaron nuevos controles de seguridad para abordar el incidente.
• Un compromiso del paquete npm legítimo «.mgc,» mediante una apropiación de cuenta para impulsar cuatro versiones maliciosas (1.2.1 a 1.2.4) que contienen un script dropper que detecta el sistema operativo y recupera una carga útil específica de la plataforma (un troyano Python para Linux y una variante de PowerShell para Windows llamada WAVESHAPER.V2) de un Gist de GitHub. El ataque se superpone directamente con el reciente ataque a la cadena de suministro dirigido a Axios, que se ha atribuido a un grupo de amenazas de Corea del Norte rastreado como UNC1069.
• Un paquete npm malicioso llamado «sesión-exprés-js» que escribe «express-session» y contiene un cuentagotas que recupera un troyano de acceso remoto (RAT) de siguiente etapa de JSON Keeper para realizar el robo de datos y el acceso persistente conectándose a «216.126.237[.]71» usando la biblioteca Socket.IO.
• Un compromiso del paquete PyPI legítimo «.billetera-bittensor» (versión 4.0.2), para implementar una puerta trasera que se activa durante una operación de descifrado de billetera para exfiltrar claves de billetera usando HTTPS, túnel DNS y TLS sin formato como canales de exfiltración a un dominio codificado o uno creado usando un algoritmo de generación de dominio (DGA) que se rota diariamente.
• Un paquete PyPI malicioso llamado «pironut» que escribe «pyrogram», un popular marco API de Python Telegram, para incorporar una puerta trasera sigilosa que se activa cada vez que un cliente de Telegram inicia y toma el control de la sesión de Telegram y el sistema host subyacente. «La puerta trasera registra controladores de mensajes ocultos de Telegram que permiten que dos cuentas controladas por atacantes codificadas ejecuten código Python arbitrario (a través del comando /e y la biblioteca meval) y comandos de shell arbitrarios (a través del comando y subproceso /shell) en el servidor de la víctima. máquina», afirmó Endor Labs.
• Un conjunto de tres extensiones maliciosas de Microsoft Visual Studio Code (VS Code) publicadas por «IolitaLabs» – «solidity-macos», «solidity-windows» y «solidity-linux» – que originalmente estaban inactivos desde 2018, pero se actualizaron el 25 de marzo de 2026 para lanzar una puerta trasera de varias etapas dirigida a los sistemas Windows y macOS al iniciar la aplicación para establecer la persistencia. En conjunto, las extensiones tenían 27,500 instalaciones antes de ser eliminadas.
• Múltiples versiones del «KhangNghiem/borrador rápido» Extensión VS Code en Open VSX (0.10.89, 0.10.105, 0.10.106 y 0.10.112) que ejecuta un descargador alojado en GitHub para implementar un Socket.IO RAT de segunda etapa, un ladrón de información, un módulo de exfiltración de archivos y un monitor de portapapeles desde un repositorio de GitHub. Curiosamente, las versiones 0.10.88, 0.10.111 y 0.10.129-135 se han encontrado limpios. «Ese no es el patrón de lanzamiento que se espera de una sola compilación comprometida o de un mantenedor que ha cambiado por completo a un comportamiento malicioso», dijo Aikido. «Parece más bien dos flujos de lanzamiento competitivos que comparten la misma identidad de editor».

En un informe publicado en febrero de 2026, Group-IB reveló que los ataques a la cadena de suministro de software se han convertido en «la fuerza dominante que está remodelando el panorama global de amenazas cibernéticas», y agregó que los actores de amenazas persiguen a proveedores confiables, software de código abierto, plataformas SaaS, extensiones de navegador y proveedores de servicios administrados para obtener acceso heredado a cientos de organizaciones posteriores.

La amenaza a la cadena de suministro puede escalar rápidamente de una sola intrusión localizada a algo que tiene un impacto transfronterizo a gran escala, con atacantes industrializando los compromisos de la cadena de suministro y convirtiéndola en un ecosistema «auto-reforzado», ya que ofrece alcance, velocidad y sigilo.

«Los repositorios de paquetes como npm y PyPI se han convertido en objetivos principales, credenciales de mantenimiento robadas y gusanos de malware automatizados para comprometer bibliotecas ampliamente utilizadas, convirtiendo los canales de desarrollo en canales de distribución a gran escala de código malicioso», Group-IB dicho

El responsable del paquete Axios npm ha confirmado que el compromiso de la cadena de suministro fue el resultado de una campaña de ingeniería social muy específica orquestada por actores de amenazas norcoreanos rastreados como UNC1069.

mantenedor Jason Saayman dijo que los atacantes adaptaron sus esfuerzos de ingeniería social «específicamente a mí», acercándose primero a él bajo la apariencia del fundador de una empresa legítima y conocida.

«Habían clonado la imagen de los fundadores de la empresa y la propia empresa», Saayman dicho en una autopsia del incidente. «Luego me invitaron a un espacio de trabajo real de Slack. Este espacio de trabajo tenía la marca del CI de la empresa y un nombre plausible. [workspace] fue pensado muy bien; Tenían canales donde compartían publicaciones de LinkedIn».

Posteriormente, se dice que los actores de amenazas programaron una reunión con él en Microsoft Teams. Al unirse a la llamada falsa, se le presentó un mensaje de error falso que decía «algo en mi sistema no estaba actualizado». Tan pronto como se activó la actualización, el ataque provocó la implementación de un troyano de acceso remoto.

El acceso proporcionado por el troyano permitió a los atacantes robar las credenciales de la cuenta npm necesarias para publicar dos versiones troyanizadas del paquete Axios npm (1.14.1 y 0.30.4) que contiene un implante llamado WAVESHAPER.V2.

«Todo estuvo muy bien coordinado, parecía legítimo y se hizo de manera profesional», añadió Saayman.

La cadena de ataque descrita por el responsable del proyecto comparte amplias superposiciones con las técnicas asociadas con UNC1069 y BlueNoroff. Los detalles de la campaña fueron documentados extensamente por Huntress y Kaspersky el año pasado, y este último la rastreó bajo el nombre de GhostCall.

«Históricamente, […] Estos tipos específicos han perseguido a los fundadores de criptomonedas, capitalistas de riesgo y personas públicas», dijo el investigador de seguridad Taylor Monahan. «Ellos ingeniero social ellos y hacerse cargo de sus cuentas y apuntar a la siguiente ronda de personas. Esta evolución hacia la focalización [OSS maintainers] es un poco preocupante en mi opinión.»

Como medidas preventivas, Saayman ha descrito varios cambios, incluido el restablecimiento de todos los dispositivos y credenciales, la configuración de versiones inmutables, la adopción del flujo OIDC para la publicación y la actualización de GitHub Actions para adoptar las mejores prácticas.

Los hallazgos demuestran cómo los mantenedores de proyectos de código abierto se están convirtiendo cada vez más en el objetivo de ataques sofisticados, lo que permite de manera efectiva que los actores de amenazas apunten a usuarios intermedios a gran escala mediante la publicación de versiones envenenadas de paquetes muy populares.

Dado que Axios atrae casi 100 millones de descargas semanales y se utiliza mucho en todo el ecosistema de JavaScript, el radio de explosión de un ataque de este tipo a la cadena de suministro puede ser enorme, ya que se propaga rápidamente a través de dependencias directas y transitivas.

«Un paquete tan ampliamente utilizado como Axios que está comprometido muestra lo difícil que es razonar sobre la exposición en un entorno JavaScript moderno», Ahmad Nassri de Socket dicho. «Es una propiedad de cómo funciona hoy la resolución de dependencias en el ecosistema».

Google tiene atribuido formalmente el compromiso de la cadena de suministro del popular paquete Axios npm con un grupo de actividades de amenazas de Corea del Norte con motivación financiera rastreado como UNC1069.

«Hemos atribuido el ataque a un presunto actor de amenazas norcoreano al que rastreamos como UNC1069», dijo John Hultquist, analista jefe de Google Threat Intelligence Group (GTIG), a The Hacker News en un comunicado.

«Los piratas informáticos norcoreanos tienen una profunda experiencia con ataques a la cadena de suministro, que históricamente han utilizado para robar criptomonedas. La magnitud total de este incidente aún no está clara, pero dada la popularidad del paquete comprometido, esperamos que tenga impactos de gran alcance».

El desarrollo se produce después de que los actores de amenazas tomaron el control de la cuenta npm del mantenedor del paquete para impulsar dos versiones troyanizadas 1.14.1 y 0.30.4 que introdujeron una dependencia maliciosa llamada «plain-crypto-js» que se utiliza para ofrecer una puerta trasera multiplataforma capaz de infectar sistemas Windows, macOS y Linux.

En lugar de introducir cambios de código en Axios, el ataque aprovecha un enlace posterior a la instalación dentro del archivo «package.json» de la dependencia maliciosa para lograr una ejecución sigilosa. Una vez instalado el paquete Axios comprometido, npm activa automáticamente la ejecución de código malicioso en segundo plano.

Específicamente, el paquete «plain-crypto-js» funciona como un «vehículo de entrega de carga útil» para un cuentagotas de JavaScript ofuscado denominado SILKBELL («setup.js»), que recupera la siguiente etapa apropiada de un servidor remoto basado en el sistema operativo de la víctima.

Como detalló anteriormente The Hacker News, la rama de ejecución de Windows ofrece malware PowerShell, un binario C++ Mach-O para macOS y una puerta trasera Python para sistemas Linux. El cuentagotas también realiza una limpieza para eliminarse y reemplazar el archivo «package.json» del paquete «plain-crypto-js» con una versión limpia que no tiene el enlace postinstalación.

Fuente de la imagen: Laboratorios de seguridad elástica

Se considera que la puerta trasera, con nombre en código WAVESHAPER.V2, es una versión actualizada de WAVESHAPER, una puerta trasera C++ implementada por UNC1069 en ataques dirigidos al sector de las criptomonedas. El actor de amenazas ha estado operativo desde 2018. Los vínculos del ataque a la cadena de suministro con UNC1069 fueron señalados por primera vez por Elastic Security Labs, citando superposiciones de funcionalidad.

Las tres variantes de WAVESHAPER.V2 admiten cuatro comandos diferentes, mientras se dirigen al servidor de comando y control (C2) en intervalos de 60 segundos:

• matarpara finalizar el proceso de ejecución del malware.
• correrpara enumerar listados de directorios, junto con rutas de archivos, tamaños y marcas de tiempo de creación/modificación.
• ejecutar scriptpara ejecutar AppleScript, PowerShell o comandos de shell según el sistema operativo.
• inyectarpara decodificar y ejecutar binarios arbitrarios.

«WAVESHAPER.V2 es una evolución directa de WAVESHAPER, una puerta trasera para macOS y Linux anteriormente atribuida a UNC1069», dijeron Mandiant y GTIG. «Mientras que el WAVESHAPER original utiliza un protocolo C2 binario ligero y sin formato y emplea empaquetado de código, WAVESHAPER.V2 se comunica mediante JSON, recopila información adicional del sistema y admite más comandos de puerta trasera».

«A pesar de estas actualizaciones, ambas versiones aceptan su URL C2 dinámicamente a través de argumentos de línea de comandos, comparten comportamientos de sondeo C2 idénticos y una cadena de agente de usuario poco común, e implementan cargas útiles secundarias en directorios temporales idénticos (por ejemplo, /Library/Caches/com.apple.act.mond)».

A mitigar la amenazase recomienda a los usuarios que auditen los árboles de dependencia para detectar versiones comprometidas (y bajen a una versión segura, si la encuentran), fijen Axios a una versión segura conocida en el archivo «package-lock.json» para evitar actualizaciones accidentales, verifiquen la presencia de «plain-crypto-js» en «node_modules», finalicen procesos maliciosos, bloqueen el dominio C2 («sfrclak»).[.]com», dirección IP: 142.11.206[.]73), aislar los sistemas afectados y rotar todas las credenciales.

«El ataque a Axios debe entenderse como una plantilla, no como un evento único. El nivel de sofisticación operativa documentado aquí, incluidas las credenciales de mantenimiento comprometidas, las cargas útiles preestablecidas creadas para tres sistemas operativos, ambas ramas de lanzamiento alcanzadas en menos de 40 minutos y la autodestrucción forense incorporada, reflejan un actor de amenazas que planeó esto como una operación escalable», dijo el arquitecto jefe de software de ReversingLabs, Tomislav Peričin, a The Hacker News.

«Si esta campaña aparece ahora en PyPI y NuGet, eso es consistente con lo que la mecánica de ataque ya sugiere: el objetivo era alcanzar el máximo alcance para los desarrolladores. Las organizaciones necesitan auditar no sólo sus dependencias npm, sino también cada administrador de paquetes que alimenta sus canales de compilación, y tratar cualquier secreto expuesto en los entornos afectados como comprometido, independientemente del registro que tocaron».

Anthropic confirmó el martes que el código interno de su popular asistente de codificación de inteligencia artificial (IA), Claude Code, se había publicado inadvertidamente debido a un error humano.

«No se involucraron ni se expusieron datos confidenciales o credenciales de clientes», dijo un portavoz de Anthropic. dicho en un comunicado compartido con CNBC News. «Este fue un problema del paquete de lanzamiento causado por un error humano, no una violación de seguridad. Estamos implementando medidas para evitar que esto vuelva a suceder».

El descubrimiento se produjo después del lanzamiento del advenedizo de la IA. versión 2.1.88 del paquete npm de Claude Code, y los usuarios notaron que contenía un archivo de mapa fuente que podría usarse para acceder al código fuente de Claude Code, que comprende casi 2000 archivos TypeScript y más de 512 000 líneas de código. La versión ya no está disponible para descargar desde npm.

El investigador de seguridad Chaofan Shou fue el primero en marcar públicamente en X, indicando «¡El código fuente del código Claude se ha filtrado a través de un archivo de mapa en su registro npm!» Desde entonces, la publicación X ha acumulado más de 28,8 millones de visitas. El código base filtrado permanece accesible a través de un repositorio público de GitHubdonde ha superado las 84.000 estrellas y las 82.000 bifurcaciones.

Una filtración de código fuente de este tipo es importante, ya que brinda a los desarrolladores de software y a los competidores de Anthropic un modelo de cómo funciona la popular herramienta de codificación. Los usuarios que tienen cavado en el código han publicado detalles de su arquitectura de memoria autorreparable para superar el modelo restricciones de ventana de contexto fijasasí como otros componentes internos.

Estos incluir un sistema de herramientas para facilitar diversas capacidades como lectura de archivos o ejecución bash, un motor de consultas para manejar llamadas y orquestación de API LLM, orquestación de múltiples agentes para generar «subagentes» o enjambres para llevar a cabo tareas complejas y una capa de comunicación bidireccional que conecta extensiones IDE a Claude Code CLI.

La filtración también arrojó luz sobre una característica llamada KAIROS eso permite a Claude Code operar como un agente persistente en segundo plano que puede corregir errores periódicamente o ejecutar tareas por sí solo sin esperar la intervención humana, e incluso enviar notificaciones automáticas a los usuarios. Complementando este modo proactivo hay un nuevo modo «sueño» eso le permitirá a Claude pensar constantemente en segundo plano para desarrollar ideas e iterar las existentes.

Quizás el detalle más intrigante es el modo encubierto de la herramienta para realizar contribuciones «silenciosas» a repositorios de código abierto. «Estás operando UNDERCOVER en un repositorio PÚBLICO/OPEN-SOURCE. Tus mensajes de confirmación, títulos de relaciones públicas y cuerpos de relaciones públicas NO DEBEN contener NINGUNA información interna de Anthropic. No desveles tu tapadera», se lee en el mensaje del sistema.

Otro hallazgo fascinante tiene que ver con los intentos de Anthropic de luchar encubiertamente contra los ataques de destilación de modelos. El sistema tiene controles en su lugar que inyectan definiciones de herramientas falsas en las solicitudes de API para envenenar los datos de entrenamiento si los competidores intentan eliminar los resultados de Claude Code.

Paquetes Typosquat npm enviados al registro

Con los aspectos internos de Claude Code ahora al descubierto, los riesgos de desarrollo brindan a los malos actores municiones para sortear las barreras de seguridad y engañar al sistema para que realice acciones no deseadas, como ejecutar comandos maliciosos o filtrar datos.

«En lugar de jailbreaks de fuerza bruta e inyecciones rápidas, los atacantes ahora pueden estudiar y descifrar exactamente cómo fluyen los datos a través del canal de gestión de contexto de cuatro etapas de Claude Code y crear cargas útiles diseñadas para sobrevivir a la compactación, persistiendo efectivamente una puerta trasera durante una sesión arbitrariamente larga», dijo la empresa de seguridad de inteligencia artificial Straiker. dicho.

La preocupación más apremiante son las consecuencias del ataque a la cadena de suministro de Axios, ya que los usuarios que instalaron o actualizaron Claude Code a través de npm el 31 de marzo de 2026, entre las 00:21 y las 03:29 UTC, pueden haber extraído consigo una versión troyanizada del cliente HTTP que contiene un troyano de acceso remoto multiplataforma. Se recomienda a los usuarios que bajen inmediatamente a una versión segura y roten todos los secretos.

Es más, los atacantes ya están aprovechando la filtración para escribir nombres de paquetes npm internos en un intento de apuntar a aquellos que pueden estar intentando compilar el código fuente filtrado de Claude Code y organizar ataques de confusión de dependencia. Los nombres de los paquetes, todos publicados por un usuario llamado «chupete136,» se enumeran a continuación:

• captura-de-audio-napi
• diferencia-de-color-napi
• procesador-de-imagen-napi
• modificadores-napi
• controlador de URL-napi

«En este momento son códigos auxiliares vacíos (`module.exports = {}`), pero así es como funcionan estos ataques: agachar el nombre, esperar a que se descarguen y luego enviar una actualización maliciosa que afecta a todos los que la instalaron», dijo el investigador de seguridad Clément Dumas. dicho en una publicación en X.

El incidente es el segundo gran error de Anthropic en una semana. Detalles sobre la empresa. próximo modelo de IAjunto con otros datos internos, quedaron accesibles a través del sistema de gestión de contenidos (CMS) de la empresa la semana pasada. Posteriormente, Anthropic reconoció que ha estado probando el modelo con clientes de acceso temprano, afirmando que es «el modelo más capaz que hemos construido hasta la fecha», según Fortuna.

El popular cliente HTTP conocido como axios ha sufrido un ataque a la cadena de suministro después de que dos versiones recientemente publicadas del paquete npm introdujeran una dependencia maliciosa.

Se ha descubierto que las versiones 1.14.1 y 0.30.4 de Axios inyectan «cripto-js simple» versión 4.2.1 como una dependencia falsa.

Según StepSecurity, las dos versiones fueron publicado utilizando las credenciales npm comprometidas del mantenedor principal de Axios («jasonsaayman»), lo que permite a los atacantes eludir la canalización CI/CD de GitHub Actions del proyecto.

«Su único propósito es ejecutar un script posterior a la instalación que actúa como un gotero de troyano de acceso remoto (RAT) multiplataforma, dirigido a macOS, Windows y Linux», dijo el investigador de seguridad Ashish Kurmi. dicho. «El dropper contacta con un servidor de comando y control en vivo y entrega cargas útiles de segunda etapa específicas de la plataforma. Después de la ejecución, el malware se elimina y reemplaza su propio paquete.json con una versión limpia para evadir la detección forense».

Los usuarios que tengan instaladas las versiones 1.14.1 o 0.30.4 de Axios deben rotar sus secretos y credenciales con efecto inmediato y bajar a una versión segura (1.14.0 o 0.30.3). Las versiones maliciosas, así como «plain-crypto-js», ya no están disponibles para descargar desde npm.

Con más de 83 millones de descargas semanales, Axios es uno de los clientes HTTP más utilizados en el ecosistema JavaScript en marcos frontend, servicios backend y aplicaciones empresariales.

«Esto no fue oportunista», añadió Kurmi. «La dependencia maliciosa se organizó con 18 horas de anticipación. Se preconstruyeron tres cargas útiles separadas para tres sistemas operativos. Ambas ramas de lanzamiento fueron atacadas en 39 minutos. Cada rastro fue diseñado para autodestruirse».

La cronología del ataque es la siguiente:

• 30 de marzo de 2026, 05:57 UTC: se publica una versión limpia del paquete «plain-crypto-js@4.2.0».
• 30 de marzo de 2026, 23:59 UTC: se publica una nueva versión («plain-crypto-js@4.2.1») con la carga útil agregada.
• 31 de marzo de 2026, 00:21 UTC: se publica una nueva versión de Axios («axios@1.14.1») que inyecta «plain-crypto-js@4.2.1» como una dependencia de tiempo de ejecución utilizando la cuenta comprometida «jasonsaayman».
• 31 de marzo de 2026, 01:00 UTC: se publica una nueva versión de Axios («axios@0.30.4») que inyecta «plain-crypto-js@4.2.1» como una dependencia de tiempo de ejecución utilizando la cuenta comprometida «jasonsaayman».

Según StepSecurity, se dice que el actor de amenazas detrás de la campaña comprometió la cuenta npm de «jasonsaayman» y cambió su dirección de correo electrónico registrada a una dirección de Proton Mail bajo su control («ifstap@proton.me»). El «plain-crypto-js» fue publicado por un usuario de npm llamado «nrwise» con la dirección de correo electrónico «nrwise@proton.me».

Se cree que el atacante obtuvo un token de acceso npm clásico de larga duración para que la cuenta tomara el control y publicara directamente versiones envenenadas de Axios en el registro.

El malware incrustado, por su parte, se lanza a través de un dropper ofuscado de Node.js («setup.js») y está diseñado para ramificarse en una de las tres rutas de ataque basadas en el sistema operativo:

• En macOS, ejecuta una carga útil AppleScript para recuperar un binario troyano de un servidor externo («sfrclak.com:8000»), guardarlo como «/Library/Caches/com.apple.act.mond», cambiar sus permisos para hacerlo ejecutable y ejecutarlo en segundo plano a través de /bin/zsh. El archivo AppleScript se elimina después de la ejecución para cubrir las pistas.
• En Windows, localiza la ruta binaria de PowerShell, la copia en «%PROGRAMDATA%\wt.exe» (disfrazándola de la aplicación Terminal de Windows), escribe un script de Visual Basic (VBScript) en el directorio temporal y lo ejecuta. VBScript se pone en contacto con el mismo servidor para buscar un script PowerShell RAT y ejecutarlo. El archivo descargado se elimina.
• En otras plataformas (por ejemplo, Linux), el dropper ejecuta un comando de shell a través de execSync de Node.js para recuperar un script Python RAT del mismo servidor y guardarlo en «/tmp/ld.py,» y ejecútelo en segundo plano usando el comando nohup.

«Cada plataforma envía un cuerpo POST distinto a la misma URL C2: paquetes.npm.org/product0 (macOS), paquetes.npm.org/product1 (Windows), paquetes.npm.org/product2 (Linux)», dijo StepSecurity. «Esto permite que el servidor C2 proporcione una carga útil apropiada para la plataforma en respuesta a un único punto final».

El binario de segunda etapa descargado para macOS es un RAT C++ que toma huellas digitales del sistema y envía señales a un servidor remoto cada 60 segundos para recuperar comandos para su posterior ejecución. Admite capacidades para ejecutar cargas útiles adicionales, ejecutar comandos de shell, enumerar el sistema de archivos y finalizar la RAT.

Una vez que se inicia la carga útil principal, el malware Node.js también toma medidas para realizar tres pasos de limpieza forense: eliminando el script postinstalación del directorio del paquete instalado, eliminando el «package.json», que hace referencia al gancho postinstalación para iniciar el cuentagotas, y cambiando el nombre de «package.md» a «package.json».

Vale la pena señalar que el archivo «package.md» está incluido en «plain-crypto-js» y es un manifiesto «package.json» limpio sin el gancho postinstalación que desencadena todo el ataque. Al cambiar los manifiestos del paquete, la idea es evitar generar señales de alerta durante la inspección posterior a la infección del paquete.

«Ninguna versión maliciosa contiene una sola línea de código malicioso dentro del propio Axios», dijo StepSecurity. «En cambio, ambos inyectan una dependencia falsa, Plain-crypto-js@4.2.1, un paquete que nunca se importa a ninguna parte del código fuente de Axios, cuyo único propósito es ejecutar un script posterior a la instalación que implementa un troyano de acceso remoto multiplataforma (RAT)».

Se recomienda a los usuarios que realicen las siguientes acciones para determinar el compromiso:

• Busque las versiones maliciosas de Axios.
• Compruebe si hay artefactos RAT: «/Library/Caches/com.apple.act.mond» (macOS), «%PROGRAMDATA%\wt.exe» (Windows) y «/tmp/ld.py» (Linux).
• Cambie a las versiones 1.14.0 o 0.30.3 de Axios.
• Elimine «plain-crypto-js» del directorio «node_modules».
• Si se detectan artefactos RAT, asuma un compromiso y rote todas las credenciales en el sistema.
• Audite las canalizaciones de CI/CD en busca de ejecuciones que instalaron las versiones afectadas.
• Bloquear el tráfico de salida al dominio de comando y control («sfrclak[.]es»)

Socket, en su propio análisis del ataque, dijo que identificó dos paquetes adicionales que distribuyen el mismo malware a través de dependencias proporcionadas:

En el caso de «@shadanai/openclaw», el paquete malicioso «plain-crypto-js» está incrustado en lo profundo de una ruta proporcionada. Por otro lado, «@qqbrowser/openclaw-qbot@0.0.130» incluye un «axios@1.14.1» manipulado en sus node_modules.

«El axios real tiene sólo tres dependencias (follow-redirects, form-data, proxy-from-env)», la empresa de seguridad de la cadena de suministro dicho. «La adición de Plain-crypto-js es una manipulación inequívoca. Cuando npm procesa este axios suministrado, instala Plain-crypto-js y activa la misma cadena de postinstalación maliciosa».

Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes npm maliciosos diseñados para robar billeteras de criptomonedas y datos confidenciales.

ReversingLabs está rastreando la actividad como Fantasma campaña. La lista de paquetes identificados, todos publicados por un usuario llamado mikilanjillo, se encuentra a continuación:

• reaccionar-rendimiento-suite
• reaccionar-estado-optimizador-núcleo
• reaccionar-rápido-utilsa
• ai-fast-auto-trader
• pkgnewfefame1
• clonador-copia-carbon-mac
• coinbase-escritorio-sdk

«Los paquetes en sí son phishing para la contraseña sudo con la que se ejecuta la última etapa, y están tratando de ocultar su funcionalidad real y evitar la detección de una manera sofisticada: mostrando registros de instalación de npm falsos», Lucija Valentić, investigadora de amenazas de software en ReversingLabs, dicho en un informe compartido con The Hacker News.

Las bibliotecas Node.js identificadas, además de afirmar falsamente que descargan paquetes adicionales, insertan retrasos aleatorios para dar la impresión de que el proceso de instalación está en marcha. En un momento durante este paso, se alerta al usuario de que la instalación se está ejecutando con un error debido a que faltan permisos de escritura en «/usr/local/lib/node_modules», que es la ubicación predeterminada para los paquetes Node.js instalados globalmente en sistemas Linux y macOS.

También le indica a la víctima que ingrese su contraseña de root o administrador para continuar con la instalación. Si ingresan la contraseña, el malware recupera silenciosamente el descargador de la siguiente etapa, que luego se comunica con un canal de Telegram para obtener la URL de la carga útil final y la clave necesaria para descifrarla.

El ataque culmina con la implementación de un troyano de acceso remoto que es capaz de recopilar datos, apuntar a billeteras de criptomonedas y esperar más instrucciones de un servidor externo.

ReversingLabs dijo que las actividades compartidas se superponen con un grupo de actividades documentado por JFrog con el nombre de GhostClaw a principios de este mes, aunque actualmente no se sabe si es trabajo del mismo actor de amenazas o de una campaña completamente nueva.

GhostClaw utiliza repositorios de GitHub y flujos de trabajo de IA para ofrecer macOS Stealer

Jamf Threat Labs, en un análisis publicado la semana pasada, dijo que la campaña GhostClaw utiliza repositorios de GitHub y flujos de trabajo de desarrollo asistidos por inteligencia artificial (IA) para entregar cargas útiles de robo de credenciales en macOS.

«Estos repositorios se hacen pasar por herramientas legítimas, incluidos robots comerciales, SDK y utilidades para desarrolladores, y están diseñados para parecer creíbles a primera vista», dijo el investigador de seguridad Thijs Xhaflaire. dicho. «Varios de los repositorios identificados han acumulado un compromiso significativo, en algunos casos superando los cientos de estrellas, lo que refuerza aún más su legitimidad percibida».

En esta campaña, los repositorios se llenan inicialmente con código benigno o parcialmente funcional y se dejan sin cambios durante un período prolongado para generar confianza entre los usuarios antes de introducir componentes maliciosos. Específicamente, los repositorios cuentan con un archivo README que guía a los desarrolladores a ejecutar un script de shell como parte del paso de instalación.

Una variante de estos repositorios presenta un archivo SKILL.md, dirigido principalmente a flujos de trabajo orientados a Al con el pretexto de instalar habilidades externas a través de agentes de IA como OpenClaw. Independientemente del método utilizado, el script de shell inicia un proceso de infección de varias etapas que finaliza con la implementación de un ladrón. La secuencia completa de acciones es la siguiente:

• Identifica la arquitectura del host y la versión de macOS, verifica si Node.js ya está presente e instala una versión compatible si es necesario. La instalación se realiza en un directorio controlado por el usuario para evitar generar señales de alerta.
• Invoca «node scripts/setup.js» y «node scripts/postinstall.js», lo que provoca que la ejecución pase a cargas útiles de JavaScript, lo que le permite robar credenciales del sistema, entregar el malware GhostLoader contactando a un servidor de comando y control (C2) y eliminar rastros de actividad maliciosa limpiando la Terminal.

El script también viene con una variable de entorno llamada «GHOST_PASSWORD_ONLY», que, cuando se establece en cero, presenta un flujo de instalación interactivo completo, completo con indicadores de progreso y mensajes para el usuario. Si se establece en 1, el script inicia una ruta de ejecución simplificada centrada principalmente en la recopilación de credenciales sin ningún elemento adicional de la interfaz de usuario.

Curiosamente, al menos en algunos casos, el script «postinstall.js» muestra un mensaje de éxito benigno, indicando que la instalación fue exitosa y que los usuarios pueden configurar la biblioteca en sus proyectos ejecutando el comando «npx reaccionar-state-optimizer».

Según un informe de la compañía de seguridad en la nube Panther el mes pasado, «react-state-optimizer» es uno de varios otros paquetes npm publicados por «mikilanjillo», lo que indica que los dos grupos de actividad son uno y el mismo.

• reaccionar-consulta-core-utils
• optimizador de estado de reacción
• reaccionar-rápido-utils
• reaccionar-rendimiento-suite
• ai-fast-auto-trader
• clonador-copia-carbon-mac
• clonador-copias-carbon-mac
• pkgnewfefame
• barra oscura

«Los paquetes contienen un ‘asistente de configuración’ CLI que engaña a los desarrolladores para que ingresen su contraseña sudo para realizar ‘optimizaciones del sistema’», dijo la investigadora de seguridad Alessandra Rizzo. «La contraseña capturada luego se pasa a una carga útil integral de ladrón de credenciales que recopila credenciales del navegador, billeteras de criptomonedas, claves SSH, configuraciones de proveedores de nube y tokens de herramientas de desarrollador».

«Los datos robados se enrutan a bots de Telegram específicos de los socios en función de un identificador de campaña integrado en cada cargador, con credenciales almacenadas en el contrato inteligente de BSC y actualizadas sin modificar el malware en sí».

El paquete npm inicial captura las credenciales y recupera la configuración de un canal de Telegram o de una página Teletype.in que está disfrazada de documentación de blockchain para implementar el ladrón. Según Panther, el malware implementa un modelo de ingresos dual, donde el ingreso principal proviene del robo de credenciales transmitido a través de canales asociados de Telegram, y el ingreso secundario proviene de redirecciones de URL de afiliados almacenadas en un contrato inteligente de Binance Smart Chain (BSC) separado.

«Esta campaña destaca un cambio continuo en el arte de los atacantes, donde los métodos de distribución se extienden más allá de los registros de paquetes tradicionales hacia plataformas como GitHub y flujos de trabajo de desarrollo emergentes asistidos por IA», dijo Jamf. «Al aprovechar ecosistemas confiables y prácticas de instalación estándar, los atacantes pueden introducir código malicioso en entornos con mínima fricción».

Se sospecha que los actores de amenazas detrás del ataque a la cadena de suministro dirigido al popular escáner Trivy están llevando a cabo ataques posteriores que han llevado al compromiso de una gran cantidad de paquetes npm con un gusano autopropagante previamente indocumentado denominado gusano de bote.

El nombre es una referencia al hecho de que el malware utiliza un recipiente de PICque se refiere a contratos inteligentes a prueba de manipulaciones en la cadena de bloques de Internet Computer, como un solucionador de caída muerta. El desarrollo marca el primer abuso documentado públicamente de un recipiente ICP con el propósito explícito de recuperar el servidor de comando y control (C2), según Charlie Eriksen, investigador de seguridad de Aikido. dicho.

La lista de paquetes afectados se encuentra a continuación:

• 28 paquetes en el ámbito @EmilGroup
• 16 paquetes en el ámbito @opengov
• @teale.io/eslint-config
• @airtm/uuid-base32
• @pypestream/flotante-ui-dom

El desarrollo se produce un día después de que los actores de amenazas aprovecharan una credencial comprometida para publicar versiones maliciosas de trivy, trivy-action y setup-trivy que contenían un ladrón de credenciales. Un enfoque en la nube operación cibercriminal Se sospecha que el grupo conocido como TeamPCP está detrás de los ataques.

La cadena de infección que involucra los paquetes npm implica aprovechar un gancho posterior a la instalación para ejecutar un cargador, que luego coloca una puerta trasera de Python que es responsable de contactar con el contenedor ICP para recuperar una URL que apunta a la carga útil de la siguiente etapa. El hecho de que la infraestructura de dead drop esté descentralizada la hace resiliente y resistente a los esfuerzos de eliminación.

«El controlador del recipiente puede cambiar la URL en cualquier momento, enviando nuevos archivos binarios a todos los hosts infectados sin tocar el implante», dijo Eriksen.

La persistencia se establece mediante un servicio de usuario systemd, que está configurado para iniciar automáticamente la puerta trasera de Python después de un retraso de 5 segundos si se finaliza por algún motivo mediante el uso de «Reiniciar=siempre» directiva. El servicio systemd se hace pasar por herramientas PostgreSQL («pgmon») en un intento de pasar desapercibido.

La puerta trasera, como se mencionó antes, llama al recipiente de PIC con un agente de usuario del navegador falso cada 50 minutos para recuperar la URL en texto sin formato. Posteriormente, la URL se analiza para buscar y ejecutar el ejecutable.

«Si la URL contiene youtube[.]com, el guión lo omite», explicó Eriksen. «Este es el estado inactivo del recipiente. El atacante arma el implante apuntando el recipiente a un binario real y lo desarma volviendo a un enlace de YouTube. Si el atacante actualiza el contenedor para que apunte a una nueva URL, cada máquina infectada recoge el nuevo binario en su siguiente sondeo. El antiguo binario sigue ejecutándose en segundo plano ya que el script nunca finaliza procesos anteriores».

Vale la pena señalar que un youtube similar[.]Wiz también ha señalado el interruptor de apagado basado en com en relación con el binario troyanizado Trivy (versión 0.69.4), que llega al mismo recipiente ICP a través de otro cuentagotas de Python («sysmon.py»). Al momento de escribir, la URL devuelta por el C2 es una vídeo de youtube de rickroll.

The Hacker News descubrió que el recipiente ICP apoya tres métodos (get_latest_link, http_request, update_link), el último de los cuales permite al actor de amenazas modificar el comportamiento en cualquier momento para servir una carga útil real.

En conjunto, los paquetes vienen con un archivo «deploy.js» que el atacante ejecuta manualmente para distribuir la carga maliciosa a cada paquete al que un token npm robado proporciona acceso de forma programática. El gusano, que se considera codificado por vibración mediante una herramienta de inteligencia artificial (IA), no intenta ocultar su funcionalidad.

«Esto no se activa con la instalación de npm», dijo Aikido. «Es una herramienta independiente que el atacante utiliza con tokens robados para maximizar el radio de explosión».

Para empeorar las cosas, se descubrió que una iteración posterior de CanisterWorm detectada en «@teale.io/eslint-config» versiones 1.8.11 y 1.8.12 se autopropaga sin necesidad de intervención manual.

A diferencia de «deploy.js», que era un script autónomo que el atacante tenía que ejecutar con los tokens npm robados para enviar una versión maliciosa de los paquetes npm al registro, la nueva variante incorpora esta funcionalidad en «index.js» dentro de una función findNpmTokens() que se ejecuta durante la fase posterior a la instalación para recopilar tokens de autenticación npm de la máquina de la víctima.

La principal diferencia aquí es que el script postinstalación, después de instalar la puerta trasera persistente, intenta localizar cada token npm del entorno del desarrollador y genera el gusano inmediatamente con esos tokens iniciando «deploy.js» como un proceso en segundo plano completamente independiente.

Curiosamente, se dice que el actor de amenazas cambió la carga útil de la puerta trasera ICP por una cadena de prueba ficticia («hello123»), probablemente para garantizar que toda la cadena de ataque funcione según lo previsto antes de agregar el malware.

«Este es el punto donde el ataque pasa de ‘la cuenta comprometida publica malware’ a ‘el malware compromete más cuentas y se publica a sí mismo’», dijo Eriksen. «Cada desarrollador o canal de CI que instala este paquete y tiene un token npm accesible se convierte en un vector de propagación involuntario. Sus paquetes se infectan, sus usuarios intermedios los instalan y, si alguno de ellos tiene tokens, el ciclo se repite».

(Esta es una historia en desarrollo. Vuelva a consultarla para obtener más detalles).

Un actor de amenazas conocido como UNC6426 claves apalancadas robadas tras el compromiso de la cadena de suministro del paquete nx npm el año pasado para violar completamente el entorno de nube de una víctima en un lapso de 72 horas.

El ataque comenzó con el robo del token GitHub de un desarrollador, que luego el actor de la amenaza utilizó para obtener acceso no autorizado a la nube y robar datos.

«El actor de amenazas, UNC6426, luego utilizó este acceso para abusar de la confianza de GitHub-to-AWS OpenID Connect (OIDC) y crear una nueva función de administrador en el entorno de la nube», Google dicho en su Informe Cloud Threat Horizons para el primer semestre de 2026. «Abusaron de esta función para exfiltrar archivos de los depósitos del Servicio de almacenamiento simple (S3) de Amazon Web Services (AWS) del cliente y realizaron la destrucción de datos en sus entornos de producción en la nube».

El ataque a la cadena de suministro dirigido al paquete nx npm tuvo lugar en agosto de 2025, cuando actores de amenazas desconocidos explotaron un flujo de trabajo vulnerable pull_request_target, un ataque tipo referido como Solicitud de Pwn – para obtener privilegios elevados y acceder a datos confidenciales, incluido un GITHUB_TOKEN, y, en última instancia, enviar versiones troyanizadas del paquete al registro npm.

Se descubrió que los paquetes incorporaban un script de postinstalación que, a su vez, lanzaba un Ladrón de credenciales de JavaScript llamado QUIETVAULT para desviar variables de entorno, información del sistema y tokens valiosos, incluidos los tokens de acceso personal (PAT) de GitHub, utilizando como arma una herramienta de modelo de lenguaje grande (LLM) ya instalada en el punto final para realizar la búsqueda. Los datos se cargaron en un repositorio público de GitHub llamado «/s1ngularity-repository-1».

Google dijo que un empleado de la organización víctima ejecutó una aplicación de edición de código que usaba el complemento Nx Console, lo que provocó una actualización en el proceso y resultó en la ejecución de QUIETVAULT.

Se dice que UNC6426 inició actividades de reconocimiento dentro del entorno GitHub del cliente utilizando el PAT robado dos días después del compromiso inicial utilizando una herramienta legítima de código abierto llamada Corriente del Norte para extraer secretos de entornos CI/CD, filtrando las credenciales de una cuenta de servicio de GitHub.

Posteriormente, los atacantes aprovecharon esta cuenta de servicio y utilizaron el parámetro «–aws-role» de la utilidad para generar tokens temporales de AWS Security Token Service (STS) para el rol «Actions-CloudFormation» y, en última instancia, permitirles obtener un punto de apoyo en el entorno AWS de la víctima.

«La función comprometida Github-Actions-CloudFormation era demasiado permisiva», dijo Google. «UNC6426 utilizó este permiso para implementar una nueva pila de AWS con capacidades [«CAPABILITY_NAMED_IAM»,»CAPABILITY_IAM»]. El único propósito de esta pila era crear una nueva función de IAM y adjuntarle la política arn:aws:iam::aws:policy/AdministratorAccess. UNC6426 pasó con éxito de un token robado a permisos completos de administrador de AWS en menos de 72 horas».

Armado con los nuevos roles de administrador, el actor de amenazas llevó a cabo una serie de acciones, incluida la enumeración y el acceso a objetos dentro de los depósitos de S3, la finalización de instancias de producción de Elastic Compute Cloud (EC2) y Relational Database Service (RDS), y descifrado de claves de aplicaciones. En la etapa final, todos los repositorios internos de GitHub de la víctima pasaron a llamarse «/s1ngularity-repository-[randomcharacters]» y hecho público.

Para contrarrestar tales amenazas, se recomienda utilizar administradores de paquetes que impidan scripts posteriores a la instalación o herramientas de sandboxing, aplicar el principio de privilegio mínimo (PoLP) a las cuentas de servicio de CI/CD y roles vinculados a OIDC, aplicar PAT detalladas con ventanas de vencimiento cortas y permisos de repositorio específicos, eliminar privilegios permanentes para acciones de alto riesgo como la creación de roles de administrador, monitorear actividades anómalas de IAM e implementar controles sólidos para detectar riesgos de Shadow AI.

El incidente destaca un caso de lo que Socket ha descrito como un abuso de la cadena de suministro asistido por IA, donde la ejecución se descarga a agentes de IA que ya tienen acceso privilegiado al sistema de archivos, las credenciales y las herramientas autenticadas del desarrollador.

«La intención maliciosa se expresa en mensajes en lenguaje natural en lugar de devoluciones de llamadas de red explícitas o puntos finales codificados, lo que complica los enfoques de detección convencionales», dijo la firma de seguridad de la cadena de suministro de software. dicho. «A medida que los asistentes de IA se integran más en los flujos de trabajo de los desarrolladores, también amplían la superficie de ataque. Cualquier herramienta capaz de invocarlos hereda su alcance».

Investigadores de ciberseguridad han descubierto un paquete npm malicioso que se hace pasar por un instalador de OpenClaw para implementar un troyano de acceso remoto (RAT) y robar datos confidenciales de hosts comprometidos.

El paquete, llamado «@openclaw-ai/openclawai,» fue subido al registro por un usuario llamado «openclaw-ai» el 3 de marzo de 2026. Se ha descargado 178 veces hasta la fecha. La biblioteca todavía está disponible para descargar en el momento de escribir este artículo.

JFrog, que descubrió el paquete, dijo que está diseñado para robar credenciales del sistema, datos del navegador, billeteras criptográficas, claves SSH, bases de datos de Apple Keychain e historial de iMessage, así como para instalar un RAT persistente con capacidades de acceso remoto, proxy SOCKS5 y clonación de sesiones de navegador en vivo.

«El ataque se destaca por su amplia recopilación de datos, su uso de ingeniería social para obtener la contraseña del sistema de la víctima y la sofisticación de su persistencia y C2. [command-and-control] infraestructura», dijo el investigador de seguridad Meitar Palas dicho. «Internamente, el malware se identifica como GhostLoader».

La lógica maliciosa se activa mediante un gancho postinstalación, que reinstala el paquete globalmente usando el comando: «npm i -g @openclaw-ai/openclawai». Una vez completada la instalación, el binario de OpenClaw apunta a «scripts/setup.js» mediante la propiedad «bin» en el archivo «package.json».

Vale la pena señalar que el «papelera«El campo se utiliza para definir archivos ejecutables que deben agregarse a la RUTA del usuario durante la instalación del paquete. Esto, a su vez, convierte el paquete en una herramienta de línea de comandos accesible globalmente.

El archivo «setup.js» sirve como cuentagotas de primera etapa que, al ejecutarse, muestra una convincente interfaz de línea de comandos falsa con barras de progreso animadas para dar la impresión de que OpenClaw se está instalando en el host. Una vez completado el supuesto paso de instalación, el script muestra un mensaje de autorización falso del llavero iCloud, solicitando a los usuarios que ingresen su contraseña del sistema.

Simultáneamente, el script recupera una carga útil JavaScript cifrada de segunda etapa del servidor C2 («trackpipe[.]dev»), que luego se decodifica, se escribe en un archivo temporal y se genera como un proceso secundario separado para continuar ejecutándose en segundo plano. El archivo temporal se elimina después de 60 segundos para cubrir los rastros de la actividad.

«Si no se puede acceder al directorio de Safari (no hay acceso completo al disco), el script muestra un cuadro de diálogo de AppleScript que insta al usuario a otorgar FDA a la Terminal, completo con instrucciones paso a paso y un botón que abre Preferencias del Sistema directamente», explicó JFrog. «Esto permite que la carga útil de la segunda etapa robe notas de Apple, iMessage, historial de Safari y datos de correo».

La segunda etapa de JavaScript, que cuenta con alrededor de 11,700 líneas, es un ladrón de información completo y un marco RAT que es capaz de persistencia, recopilación de datos, descifrado del navegador, comunicación C2, un proxy SOCKS5 y clonación en vivo del navegador. También está equipado para robar una amplia gama de datos.

• Llavero macOS, incluidas las bases de datos login.keychain-db local y todas las bases de datos de llavero iCloud
• Credenciales, cookies, tarjetas de crédito y datos de autocompletar de todos los navegadores basados ​​en Chromium, como Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, Yandex y Comet.
• Datos de aplicaciones de billetera de escritorio y extensiones de navegador
• Frases iniciales de billetera de criptomonedas
• Claves SSH
• Credenciales de desarrollador y de nube para AWS, Microsoft Azure, Google Cloud, Kubernetes, Docker y GitHub
• Configuraciones de agentes de inteligencia artificial (IA), y
• Datos protegidos por la FDA, incluidas Apple Notes, historial de iMessage, historial de navegación de Safari, configuraciones de cuentas de correo e información de cuentas de Apple

En la etapa final, los datos recopilados se comprimen en un archivo tar.gz y se filtran a través de múltiples canales, incluso directamente al servidor C2, Telegram Bot API y GoFile.io.

Es más, el malware entra en un modo demonio persistente que le permite monitorear el contenido del portapapeles cada tres segundos y transmitir cualquier dato que coincida con uno de los nueve patrones predefinidos correspondientes a claves privadas. clave WIFclave privada SOL, clave privada RSA, dirección BTC, dirección Ethereum, clave AWS, clave OpenAI y clave Strike.

Otras características incluyen controlar los procesos en ejecución, escanear los chats entrantes de iMessage en tiempo real y ejecutar comandos enviados desde el servidor C2 para ejecutar un comando de shell arbitrario, abrir una URL en el navegador predeterminado de la víctima, descargar cargas útiles adicionales, cargar archivos, iniciar/detener un proxy SOCKS5, enumerar los navegadores disponibles, clonar un perfil de navegador e iniciarlo en modo sin cabeza, detener la clonación del navegador, autodestruirse y actualizarse.

La función de clonación del navegador es particularmente peligrosa ya que inicia una instancia de Chromium sin cabeza con el perfil del navegador existente que contiene cookies, datos de inicio de sesión y de historial. Esto le brinda al atacante una sesión de navegador completamente autenticada sin necesidad de acceder a credenciales.

«El paquete @openclaw-ai/openclawai combina ingeniería social, entrega de carga útil cifrada, amplia recopilación de datos y una RAT persistente en un único paquete npm», dijo JFrog.

«El instalador de CLI falso y pulido y el mensaje de Llavero son lo suficientemente convincentes como para extraer contraseñas del sistema de desarrolladores cautelosos, y una vez capturadas, esas credenciales desbloquean el descifrado de Llavero de macOS y la extracción de credenciales del navegador que de otro modo serían bloqueadas por protecciones a nivel de sistema operativo».

Los investigadores de ciberseguridad han revelado una nueva iteración de la actual campaña Contagious Interview, donde los actores de amenazas norcoreanos han publicado un conjunto de 26 paquetes maliciosos en el registro npm.

Los paquetes se hacen pasar por herramientas de desarrollador, pero contienen funcionalidad para extraer el comando y control real (C2) mediante el uso de contenido aparentemente inofensivo de Pastebin como un solucionador de caídas y, en última instancia, eliminan un ladrón de credenciales y un troyano de acceso remoto dirigidos a desarrolladores. La infraestructura C2 está alojada en Vercel en 31 implementaciones.

El campañarastreado por Socket y Kieran Miyamoto de kmsec.uk está siendo rastreado bajo el apodo StegaBin.

«El cargador extrae URL C2 codificadas esteganográficamente dentro de tres pastas de Pastebin, ensayos informáticos inofensivos en los que los caracteres en posiciones uniformemente espaciadas han sido reemplazados para deletrear direcciones de infraestructura ocultas», los investigadores de Socket Philipp Burckhardt y Peter van der Zee dicho.

La lista de paquetes npm maliciosos es la siguiente:

• argonista@0.41.0
• bcryptance@6.5.2
• abeja-quarl@2.1.2
• núcleo de burbuja@6.26.2
• corstoken@2.14.7
• daytonjs@1.11.20
• ether-lint@5.9.4
• expressjs-lint@5.3.2
• fastify-lint@5.8.0
• formmiderable@3.5.7
• hapi-lint@19.1.2
• iosysredis@5.13.2
• jslint-config@10.22.2
• jsnwebapptoken@8.40.2
• kafkajs-lint@2.21.3
• loadash-lint@4.17.24
• mqttoken@5.40.2
• prisma-lint@7.4.2
• promanage@6.0.21
• secuela@6.40.2
• tiporiem@0.4.17
• undicy-lint@7.23.1
• uuindex@13.1.0
• vitetest-lint@4.1.21
• windowston@3.19.2
• zoddle@4.4.2

Todos los paquetes identificados vienen con un script de instalación («install.js») que se ejecuta automáticamente durante la instalación del paquete, que, a su vez, ejecuta la carga útil maliciosa ubicada en «vendor/scrypt-js/version.js». Otro aspecto común que une a los 26 paquetes es que declaran explícitamente el paquete legítimo que están escribiendo como una dependencia, probablemente en un intento de hacerlos parecer creíbles.

La carga útil sirve como un decodificador de esteganografía de texto al contactar una URL de Pastebin y extraer su contenido para recuperar las URL C2 Vercel reales. Si bien los pegados aparentemente contienen un ensayo benigno sobre informática, el decodificador está diseñado para observar caracteres específicos en ciertas posiciones del texto y unirlos para crear una lista de dominios C2.

«El decodificador elimina los caracteres Unicode de ancho cero, lee un marcador de longitud de 5 dígitos desde el principio, calcula las posiciones de los caracteres espaciados uniformemente a lo largo del texto y extrae los caracteres en esas posiciones», dijo Socket. «Los caracteres extraídos luego se dividen en un separador ||| (con un marcador de terminación ===END===) para producir una matriz de nombres de dominio C2».

Luego, el malware llega al dominio decodificado para recuperar cargas útiles específicas de la plataforma para Windows, macOS y Linux, una táctica ampliamente observada en la campaña Contagious Interview. Uno de esos dominios, «ext-checkdin.vercel[.]app» sirve un script de shell, que luego contacta la misma URL para recuperar un componente RAT.

El troyano se conecta a 103.106.67[.]63:1244 a esperar más instrucciones que le permitan cambiar el directorio actual y ejecutar comandos de shell, a través de los cuales se implementa un conjunto integral de recopilación de inteligencia. Contiene nueve módulos para facilitar la persistencia de Microsoft Visual Studio Code (VS Code), el registro de teclas y el robo del portapapeles, la recolección de credenciales del navegador, el escaneo de secretos de TruffleHog y el repositorio Git y la filtración de claves SSH.

• vsque utiliza un archivo task.json malicioso para contactar un dominio de Vercel cada vez que se abre un proyecto en VS Code aprovechando el disparador runOn: «folderOpen». El módulo escanea específicamente el directorio de configuración de VS Code de la víctima en las tres plataformas y escribe el archivo task.json malicioso directamente en él.
• acortarque actúa como registrador de teclas, rastreador de mouse y ladrón de portapapeles con soporte para seguimiento activo de ventanas y realiza filtraciones periódicas cada 10 minutos.
• hermanoque es una carga útil de Python para robar almacenes de credenciales del navegador.
• jque es un módulo de Node.js utilizado para el robo de navegadores y criptomonedas dirigido a Google Chrome, Brave, Firefox, Opera y Microsoft Edge, y extensiones como MetaMask, Phantom, Coinbase Wallet, Binance, Trust, Exodus y Keplr, entre otras. En macOS, también apunta al llavero de iCloud.
• zque enumera el sistema de archivos y roba archivos que coinciden con ciertos patrones predefinidos.
• norteque actúa como RAT para otorgar al atacante la capacidad de controlar de forma remota el host infectado en tiempo real a través de una conexión WebSocket persistente a 103.106.67[.]63:1247 y exfiltrar datos de interés a través de FTP.
• trufaque descarga el legítimo Escáner de secretos de TruffleHog desde la página oficial de GitHub para descubrir y filtrar los secretos de los desarrolladores.
• gitque recopila archivos de directorios .ssh, extrae credenciales de Git y escanea repositorios.
• programadoque es lo mismo que «vendor/scrypt-js/version.js» y se vuelve a implementar como mecanismo de persistencia.

«Mientras que las oleadas anteriores de la campaña Contagious Interview se basaban en scripts maliciosos relativamente sencillos y cargas útiles alojadas en Bitbucket, esta última iteración demuestra un esfuerzo concertado para evitar tanto la detección automatizada como la revisión humana», concluyó Socket.

«El uso de esteganografía a nivel de personaje en Pastebin y el enrutamiento Vercel de múltiples etapas apunta a un adversario que está refinando sus técnicas de evasión e intentando hacer sus operaciones más resistentes».

La divulgación se produce cuando también se ha observado que los actores norcoreanos publican paquetes npm maliciosos (por ejemplo, express-core-validator) para recuperar una carga útil de JavaScript de la siguiente etapa alojada en Google Drive.

«Sólo se ha publicado un paquete con esta nueva técnica», Miyamoto dicho. «Es probable que FAMOUS CHOLLIMA continúe aprovechando múltiples técnicas e infraestructura para entregar cargas útiles de seguimiento. Es poco probable que esto indique una revisión completa de su comportamiento de etapa en npm».