Expertos en ciberseguridad han encontrado un nuevo grupo de paquetes maliciosos en NPM y en el repositorio de Python Package Index (PyPI), asociados a una campaña de reclutamiento falsa liderada por el Grupo Lazarus, vinculado a Corea del Norte.
Al igual que muchas
campañas de búsqueda de empleo
llevadas a cabo por actores de amenazas norcoreanos, el ataque comienza con la creación de una empresa ficticia, como Veltrix Capital, en el ámbito de la blockchain y el comercio de criptomonedas, seguida de la creación de recursos digitales para aparentar legitimidad.
Esta operación coordinada ha sido llamada graphalgo, en referencia al primer paquete publicado en el registro de NPM. Se estima que ha estado activa desde mayo de 2025.
«Los desarrolladores son contactados a través de redes sociales como LinkedIn y Facebook o mediante ofertas de trabajo en foros como Reddit»,
afirmó Karlo Zanki, investigador de ReversingLabs, en un informe.
«La campaña incluye una narrativa bien estructurada sobre una empresa que opera en blockchain y plataformas de intercambio de criptomonedas».
Es importante mencionar que uno de los paquetes de NPM identificados,
bigmathutils, acumuló más de 10.000 descargas tras la liberación de su primera versión, que no contenía malware, antes de publicar una segunda versión con carga maliciosa. Los nombres de los paquetes se
detallan
en el informe.
La campaña también incluyó el registro de un dominio y la creación de una organización en GitHub para albergar varios repositorios destinados a evaluaciones de programación. Se ha descubierto que estos repositorios contienen proyectos en Python y JavaScript.
«El análisis de estos repositorios no reveló funcionalidades maliciosas evidentes», afirmó Zanki.
«Esto se debe a que la funcionalidad maliciosa no se introdujo directamente a través de los repositorios de entrevistas de trabajo, sino de manera indirecta a través de dependencias de los repositorios de paquetes de código abierto de npm y PyPI».
La estrategia detrás de estos repositorios es engañar a los postulantes de empleo en Reddit y grupos de Facebook para que ejecuten los proyectos en sus equipos, lo que lleva a la instalación de la dependencia maliciosa y a la eventual infección. En algunas ocasiones, las víctimas son contactadas directamente por reclutadores que parecen legítimos en LinkedIn.
Los paquetes sirven como un medio para implementar un troyano de acceso remoto (RAT) que obtiene y ejecuta comandos periódicamente desde un servidor externo. Permite diversos comandos para recopilar información del sistema, listar archivos y directorios, visualizar procesos en ejecución, crear carpetas, renombrar y eliminar archivos, así como cargar y descargar archivos.
Interesantemente, la comunicación de comando y control (C2) está protegida por un mecanismo basado en tokens para asegurar que solo se acepten solicitudes con un token válido. Este enfoque
se ha observado previamente en campañas de 2023
relacionadas con un grupo de hackers norcoreano conocido como Jade Sleet, TraderTraitor o UNC4899.
Funciona de la siguiente manera: los paquetes envían datos del sistema como parte de un registro al servidor C2, que a su vez responde con un token. Este token se utiliza en solicitudes posteriores para confirmar que provienen de un sistema infectado previamente registrado. «El uso de tokens es similar […] en ambos casos, y hasta donde sabemos, no ha sido empleado por otros actores en malware alojado en repositorios públicos de paquetes», afirmó Zanki.
Los hallazgos indican que actores de amenazas patrocinados por el
estado norcoreano siguen infiltrándose
en ecosistemas de código abierto con paquetes maliciosos con la intención de robar datos sensibles y llevar a cabo robos financieros, como lo demuestra su verificación del RAT para ver si la extensión del navegador MetaMask está instalada en el sistema.
«La evidencia sugiere que se trata de una campaña altamente sofisticada», señaló ReversingLabs.
«Su modularidad, duración prolongada, paciencia para generar confianza en los distintos componentes de la campaña y la complejidad del malware multicapa y cifrado indican la actividad de un actor de amenazas respaldado por el estado».
Se han encontrado más paquetes maliciosos en NPM
Esta situación surge tras el descubrimiento por parte de JFrog de un complejo paquete NPM malicioso llamado «duer-js», publicado por el usuario «luizaearlyx». Aunque se presenta como una utilidad para «aumentar la visibilidad de la ventana de la consola», contiene un ladrón de información de Windows denominado Bada Stealer.
Este ladrón tiene la capacidad de recopilar tokens de Discord, contraseñas, cookies y datos de autocompletado de navegadores como Google Chrome, Microsoft Edge, Brave, Opera y Yandex Browser, junto con información sobre billeteras de criptomonedas y detalles del sistema. Los datos son exfiltrados posteriormente a un webhook de Discord y también al servicio de almacenamiento de archivos Gofile como respaldo.
«Además de robar datos del host infectado, el paquete malicioso descarga una carga útil secundaria»,
explicó el analista de seguridad Guy Korolevski.
«Esta carga útil está diseñada para ejecutarse al inicio de la aplicación de escritorio de Discord, con capacidades de actualización automática, robando directamente datos de ella, incluyendo métodos de pago utilizados por el usuario».
También se relaciona con el descubrimiento de otra campaña de malware que utiliza NPM para extorsionar a desarrolladores con criptomonedas durante la instalación de paquetes usando el comando «npm install». Esta campaña, que se detectó por primera vez el 4 de febrero de 2026, ha sido apodada XPACK ATTACK por OpenSourceMalware.
«A diferencia del malware convencional que roba credenciales o ejecuta shells inversos, este ataque aprovecha de manera innovadora el
código de estado HTTP 402 ‘Pago requerido’
para crear un muro de pago que aparenta ser legítimo»,
comentó el investigador de seguridad Paul McCarty.
«El ataque bloquea la instalación hasta que las víctimas saldan 0,1 USDC/ETH al monedero del atacante, mientras recopila nombres de usuario de GitHub y huellas digitales del dispositivo».
«Si se niegan a pagar, la instalación simplemente falla luego de hacerles perder más de 5 minutos de tiempo de desarrollo, y es posible que ni siquiera se percaten de que se han topado con malware en lugar de lo que parecía ser un muro de pago legítimo para acceder a los paquetes».
Fuente:
THN
Con Información de blog.segu-info.com.ar