La firma de seguridad Socket ha descubierto diez paquetes maliciosos en el repositorio npm que atacan a desarrolladores en sistemas Windows, macOS y Linux. Estos paquetes, disponibles desde julio, utilizan typosquatting y ofuscación sofisticada para instalar malware infostealer. El malware roba credenciales de navegadores, claves SSH y archivos de configuración antes de exfiltrar datos a los atacantes.
Desde principios de julio, diez paquetes npm maliciosos han estado circulando en el administrador de paquetes de JavaScript, acumulando 9.900 descargas antes de su eliminación a finales de octubre. Descubiertos por Socket, una empresa especializada en seguridad de la cadena de suministro de software, los paquetes emplean tácticas de typosquatting con nombres que imitan a los legítimos, como typescriptjs (en lugar de TypeScript), deezcord.js, dizcordjs, dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js y zustand.js.
La infección comienza durante la instalación a través de un script postinstall en el archivo package.json. Este script abre una ventana de terminal oculta específica del sistema operativo y ejecuta un archivo app.js. El app.js contiene ofuscación multicapa, incluyendo codificación URL y declaraciones switch con cálculos hexadecimales y octales, para ocultar sus rutinas maliciosas. Para mantener la apariencia de legitimidad, muestra un CAPTCHA falso renderizado en arte ASCII, que requiere entrada del usuario solo como distracción.
Al activarse, el malware envía la dirección IP del objetivo a un servidor del atacante y descarga un binario específico de la plataforma. Luego cambia a ejecución en Python usando PyInstaller, ejecutando una aplicación sin ofuscar llamada data_extracter. Esta herramienta escanea directorios del sistema en busca de datos sensibles, incluyendo perfiles de navegadores Firefox y Chromium, claves SSH, credenciales AWS en ~/.aws/credentials, bases de datos SQLite, archivos de configuración JSON, cookies de navegadores, llaveros y tokens de autenticación. La información robada se comprime en un archivo ZIP y se transmite a los atacantes.
Aunque los paquetes ya no están disponibles en npm a finales de octubre, su disponibilidad durante tres meses y la ofuscación avanzada generan preocupaciones sobre variantes no detectadas. Este incidente resalta las vulnerabilidades continuas en npm ante ataques a la cadena de suministro, impulsando llamados a que los desarrolladores verifiquen paquetes y monitoreen instalaciones de cerca.