{"id":350,"date":"2026-03-24T14:38:43","date_gmt":"2026-03-24T14:38:43","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/la-campana-fantasma-utiliza-paquetes-de-7-npm-para-robar-carteras-y-credenciales-criptograficas-cyberdefensa-mx\/"},"modified":"2026-03-24T14:38:43","modified_gmt":"2026-03-24T14:38:43","slug":"la-campana-fantasma-utiliza-paquetes-de-7-npm-para-robar-carteras-y-credenciales-criptograficas-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/la-campana-fantasma-utiliza-paquetes-de-7-npm-para-robar-carteras-y-credenciales-criptograficas-cyberdefensa-mx\/","title":{"rendered":"La campa\u00f1a fantasma utiliza paquetes de 7 npm para robar carteras y credenciales criptogr\u00e1ficas \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes npm maliciosos dise\u00f1ados para robar billeteras de criptomonedas y datos confidenciales.<\/p>\n<p>ReversingLabs est\u00e1 rastreando la actividad como <strong>Fantasma<\/strong> campa\u00f1a. La lista de paquetes identificados, todos publicados por un usuario llamado mikilanjillo, se encuentra a continuaci\u00f3n:<\/p>\n<ul>\n<li aria-level=\"1\">reaccionar-rendimiento-suite<\/li>\n<li aria-level=\"1\">reaccionar-estado-optimizador-n\u00facleo<\/li>\n<li aria-level=\"1\">reaccionar-r\u00e1pido-utilsa<\/li>\n<li aria-level=\"1\">ai-fast-auto-trader<\/li>\n<li aria-level=\"1\">pkgnewfefame1<\/li>\n<li aria-level=\"1\">clonador-copia-carbon-mac<\/li>\n<li aria-level=\"1\">coinbase-escritorio-sdk<\/li>\n<\/ul>\n<p>\u00abLos paquetes en s\u00ed son phishing para la contrase\u00f1a sudo con la que se ejecuta la \u00faltima etapa, y est\u00e1n tratando de ocultar su funcionalidad real y evitar la detecci\u00f3n de una manera sofisticada: mostrando registros de instalaci\u00f3n de npm falsos\u00bb, Lucija Valenti\u0107, investigadora de amenazas de software en ReversingLabs, <a href=\"https:\/\/www.reversinglabs.com\/blog\/npm-fake-install-logs-rat\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>Las bibliotecas Node.js identificadas, adem\u00e1s de afirmar falsamente que descargan paquetes adicionales, insertan retrasos aleatorios para dar la impresi\u00f3n de que el proceso de instalaci\u00f3n est\u00e1 en marcha. En un momento durante este paso, se alerta al usuario de que la instalaci\u00f3n se est\u00e1 ejecutando con un error debido a que faltan permisos de escritura en \u00ab\/usr\/local\/lib\/node_modules\u00bb, que es la ubicaci\u00f3n predeterminada para los paquetes Node.js instalados globalmente en sistemas Linux y macOS.<\/p>\n<p>Tambi\u00e9n le indica a la v\u00edctima que ingrese su contrase\u00f1a de root o administrador para continuar con la instalaci\u00f3n. Si ingresan la contrase\u00f1a, el malware recupera silenciosamente el descargador de la siguiente etapa, que luego se comunica con un canal de Telegram para obtener la URL de la carga \u00fatil final y la clave necesaria para descifrarla.<\/p>\n<p>El ataque culmina con la implementaci\u00f3n de un troyano de acceso remoto que es capaz de recopilar datos, apuntar a billeteras de criptomonedas y esperar m\u00e1s instrucciones de un servidor externo.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>ReversingLabs dijo que las actividades compartidas se superponen con un grupo de actividades documentado por JFrog con el nombre de GhostClaw a principios de este mes, aunque actualmente no se sabe si es trabajo del mismo actor de amenazas o de una campa\u00f1a completamente nueva.<\/p>\n<h3>GhostClaw utiliza repositorios de GitHub y flujos de trabajo de IA para ofrecer macOS Stealer<\/h3>\n<p>Jamf Threat Labs, en un an\u00e1lisis publicado la semana pasada, dijo que la campa\u00f1a GhostClaw utiliza repositorios de GitHub y flujos de trabajo de desarrollo asistidos por inteligencia artificial (IA) para entregar cargas \u00fatiles de robo de credenciales en macOS.<\/p>\n<p>\u00abEstos repositorios se hacen pasar por herramientas leg\u00edtimas, incluidos robots comerciales, SDK y utilidades para desarrolladores, y est\u00e1n dise\u00f1ados para parecer cre\u00edbles a primera vista\u00bb, dijo el investigador de seguridad Thijs Xhaflaire. <a href=\"https:\/\/www.jamf.com\/blog\/ghostclaw-ghostloader-malware-github-repositories-ai-workflows\/\">dicho<\/a>. \u00abVarios de los repositorios identificados han acumulado un compromiso significativo, en algunos casos superando los cientos de estrellas, lo que refuerza a\u00fan m\u00e1s su legitimidad percibida\u00bb.<\/p>\n<p>En esta campa\u00f1a, los repositorios se llenan inicialmente con c\u00f3digo benigno o parcialmente funcional y se dejan sin cambios durante un per\u00edodo prolongado para generar confianza entre los usuarios antes de introducir componentes maliciosos. Espec\u00edficamente, los repositorios cuentan con un archivo README que gu\u00eda a los desarrolladores a ejecutar un script de shell como parte del paso de instalaci\u00f3n.<\/p>\n<p>Una variante de estos repositorios presenta un archivo SKILL.md, dirigido principalmente a flujos de trabajo orientados a Al con el pretexto de instalar habilidades externas a trav\u00e9s de agentes de IA como OpenClaw. Independientemente del m\u00e9todo utilizado, el script de shell inicia un proceso de infecci\u00f3n de varias etapas que finaliza con la implementaci\u00f3n de un ladr\u00f3n. La secuencia completa de acciones es la siguiente:<\/p>\n<ul>\n<li aria-level=\"1\">Identifica la arquitectura del host y la versi\u00f3n de macOS, verifica si Node.js ya est\u00e1 presente e instala una versi\u00f3n compatible si es necesario. La instalaci\u00f3n se realiza en un directorio controlado por el usuario para evitar generar se\u00f1ales de alerta.<\/li>\n<li aria-level=\"1\">Invoca \u00abnode scripts\/setup.js\u00bb y \u00abnode scripts\/postinstall.js\u00bb, lo que provoca que la ejecuci\u00f3n pase a cargas \u00fatiles de JavaScript, lo que le permite robar credenciales del sistema, entregar el malware GhostLoader contactando a un servidor de comando y control (C2) y eliminar rastros de actividad maliciosa limpiando la Terminal.<\/li>\n<\/ul>\n<p>El script tambi\u00e9n viene con una variable de entorno llamada \u00abGHOST_PASSWORD_ONLY\u00bb, que, cuando se establece en cero, presenta un flujo de instalaci\u00f3n interactivo completo, completo con indicadores de progreso y mensajes para el usuario. Si se establece en 1, el script inicia una ruta de ejecuci\u00f3n simplificada centrada principalmente en la recopilaci\u00f3n de credenciales sin ning\u00fan elemento adicional de la interfaz de usuario.<\/p>\n<p>Curiosamente, al menos en algunos casos, el script \u00abpostinstall.js\u00bb muestra un mensaje de \u00e9xito benigno, indicando que la instalaci\u00f3n fue exitosa y que los usuarios pueden configurar la biblioteca en sus proyectos ejecutando el comando \u00abnpx reaccionar-state-optimizer\u00bb.<\/p>\n<p>Seg\u00fan un <a href=\"https:\/\/panther.com\/blog\/phantom-menace-the-ghost-loader-infostealer-campaign\">informe<\/a> de la compa\u00f1\u00eda de seguridad en la nube Panther el mes pasado, \u00abreact-state-optimizer\u00bb es uno de varios otros paquetes npm publicados por \u00abmikilanjillo\u00bb, lo que indica que los dos grupos de actividad son uno y el mismo.<\/p>\n<ul>\n<li aria-level=\"1\">reaccionar-consulta-core-utils<\/li>\n<li aria-level=\"1\">optimizador de estado de reacci\u00f3n<\/li>\n<li aria-level=\"1\">reaccionar-r\u00e1pido-utils<\/li>\n<li aria-level=\"1\">reaccionar-rendimiento-suite<\/li>\n<li aria-level=\"1\">ai-fast-auto-trader<\/li>\n<li aria-level=\"1\">clonador-copia-carbon-mac<\/li>\n<li aria-level=\"1\">clonador-copias-carbon-mac<\/li>\n<li aria-level=\"1\">pkgnewfefame<\/li>\n<li aria-level=\"1\">barra oscura<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ciso-risk-comm-cert-li-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjoqpwvMkmQTpI6oFBcM5sjZJ4sJ2YplYYhb-ceY5aPYSXjkfcX-xHTDS-SMK3wzNy_kFuH4yN1umKPloMnloAmmRc5nXo64laMkM5neZzco95ZJXnRH-iV-6vAXRDv8vCSgWdcloM_rsNLykF6rlZbcXQ2n2fT-No23La_8rS67S8terJhozZU9JPmB9kO\/s728-e100\/ciso-light-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abLos paquetes contienen un &#8216;asistente de configuraci\u00f3n&#8217; CLI que enga\u00f1a a los desarrolladores para que ingresen su contrase\u00f1a sudo para realizar &#8216;optimizaciones del sistema&#8217;\u00bb, dijo la investigadora de seguridad Alessandra Rizzo. \u00abLa contrase\u00f1a capturada luego se pasa a una carga \u00fatil integral de ladr\u00f3n de credenciales que recopila credenciales del navegador, billeteras de criptomonedas, claves SSH, configuraciones de proveedores de nube y tokens de herramientas de desarrollador\u00bb.<\/p>\n<p>\u00abLos datos robados se enrutan a bots de Telegram espec\u00edficos de los socios en funci\u00f3n de un identificador de campa\u00f1a integrado en cada cargador, con credenciales almacenadas en el contrato inteligente de BSC y actualizadas sin modificar el malware en s\u00ed\u00bb.<\/p>\n<p>El paquete npm inicial captura las credenciales y recupera la configuraci\u00f3n de un canal de Telegram o de una p\u00e1gina Teletype.in que est\u00e1 disfrazada de documentaci\u00f3n de blockchain para implementar el ladr\u00f3n. Seg\u00fan Panther, el malware implementa un modelo de ingresos dual, donde el ingreso principal proviene del robo de credenciales transmitido a trav\u00e9s de canales asociados de Telegram, y el ingreso secundario proviene de redirecciones de URL de afiliados almacenadas en un contrato inteligente de Binance Smart Chain (BSC) separado.<\/p>\n<p>\u00abEsta campa\u00f1a destaca un cambio continuo en el arte de los atacantes, donde los m\u00e9todos de distribuci\u00f3n se extienden m\u00e1s all\u00e1 de los registros de paquetes tradicionales hacia plataformas como GitHub y flujos de trabajo de desarrollo emergentes asistidos por IA\u00bb, dijo Jamf. \u00abAl aprovechar ecosistemas confiables y pr\u00e1cticas de instalaci\u00f3n est\u00e1ndar, los atacantes pueden introducir c\u00f3digo malicioso en entornos con m\u00ednima fricci\u00f3n\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes npm maliciosos dise\u00f1ados para robar billeteras de criptomonedas y datos confidenciales. ReversingLabs est\u00e1 rastreando la actividad como Fantasma campa\u00f1a. La lista de paquetes identificados, todos publicados por un usuario llamado mikilanjillo, se encuentra a continuaci\u00f3n: reaccionar-rendimiento-suite reaccionar-estado-optimizador-n\u00facleo reaccionar-r\u00e1pido-utilsa ai-fast-auto-trader pkgnewfefame1 clonador-copia-carbon-mac coinbase-escritorio-sdk \u00abLos paquetes en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[133,788,469,243,24,1216,277,276,36,703,216],"class_list":["post-350","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-campana","tag-carteras","tag-credenciales","tag-criptograficas","tag-cyberdefensa-mx","tag-fantasma","tag-npm","tag-paquetes","tag-para","tag-robar","tag-utiliza"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/350","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=350"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/350\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=350"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=350"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=350"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}