Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes maliciosos en npm y el repositorio Python Package Index (PyPI) vinculados a una campaña falsa con temática de reemplazo orquestada por el Categoría Lazarus, vinculado a Corea del Ideal.
La campaña coordinada recibió el nombre en código de graphalgo en relato al primer paquete publicado en el registro npm. Se estima que está activo desde mayo de 2025.
“Se contacta a los desarrolladores a través de plataformas sociales como LinkedIn y Facebook, o a través de ofertas de trabajo en foros como Reddit”, dijo en un referencia el investigador de ReversingLabs, Karlo Zanki. “La campaña incluye una historia acertadamente orquestada sobre una empresa involucrada en blockchain y intercambios de criptomonedas”.
En particular, uno de los paquetes npm identificados, bigmathutils, atrajo más de 10.000 descargas posteriormente de que se publicara la primera interpretación no maliciosa y antaño de que se publicara la segunda interpretación que contenía una carga útil maliciosa. Los nombres de los paquetes se enumeran a continuación:
npm –
- grafico
- plumbagina
- estructura gráfica
- graflibcore
- estructura de red
- grafonetworkx
- terminalcolor256
- graficokitx
- condena gráfica
- flujo de grafos
- grafórbita
- grafnet
- grafhub
- color de terminal
- plumbagina
- bignumx
- grannúmerox
- bignumex
- bigmatex
- bigmathlib
- bigmathutils
- enlace boceto
- bigmatix
- flujo de grafos
PyPI –
- grafico
- grafex
- graflibx
- gráficodict
- flujo de grafos
- nodo boceto
- sincronización gráfica
- gran pyx
- bignum
- bigmatex
- bigmatix
- bigmathutils
Como ocurre con muchas campañas centradas en el empleo realizadas por actores de amenazas norcoreanos, la condena de ataque comienza con el establecimiento de una empresa falsa como Veltrix Caudal en el espacio de comercio de criptomonedas y blockchain, y luego establece el espacio digital necesario para crear una ilusión de licitud.
Esto incluye registrar un dominio y crear una ordenamiento GitHub relacionada para penetrar varios repositorios para su uso en evaluaciones de codificación. Se ha descubierto que los repositorios contienen proyectos basados en Python y JavaScript.
“El examen de estos repositorios no reveló ninguna funcionalidad maliciosa obvia”, dijo Zanki. “Esto se debe a que la funcionalidad maliciosa no se introdujo directamente a través de los repositorios de entrevistas de trabajo, sino indirectamente, a través de dependencias alojadas en los repositorios de paquetes de código amplio npm y PyPI”.
La idea detrás de la configuración de estos repositorios es engañar a los candidatos que se postulan para sus ofertas de trabajo en Reddit y Grupos de Facebook para que ejecuten los proyectos en sus máquinas, instalando efectivamente la dependencia maliciosa y desencadenando la infección. En algunos casos, las víctimas son contactadas directamente por reclutadores aparentemente legítimos en LinkedIn.
En última instancia, los paquetes actúan como un conducto para implementar un troyano de acercamiento remoto (RAT) que periódicamente recupera y ejecuta comandos desde un servidor foráneo. Admite varios comandos para compilar información del sistema, enumerar archivos y directorios, enumerar procesos en ejecución, crear carpetas, cambiar el nombre de archivos, eliminar archivos y cargar/descargar archivos.
Curiosamente, la comunicación de comando y control (C2) está protegida por un mecanismo basado en token para asegurar que solo se acepten solicitudes con un token válido. El enfoque se observó anteriormente en campañas de 2023 vinculadas a un liga de piratería norcoreano llamado Jade Sleet, igualmente conocido como TraderTraitor o UNC4899.
Básicamente, funciona así: los paquetes envían datos del sistema como parte de un paso de registro al servidor C2, que contesta con un token. Luego, este token se envía de dorso al servidor C2 en solicitudes posteriores para establecer que se originan en un sistema infectado ya registrado.
“El enfoque basado en tokens es similar (…) en los dos casos y, hasta donde sabemos, no ha sido utilizado por otros actores en malware alojado en repositorios de paquetes públicos”, dijo Zanki a The Hacker News en ese momento.
Los hallazgos muestran que los actores de amenazas patrocinados por el estado de Corea del Ideal continúan envenenando los ecosistemas de código amplio con paquetes maliciosos con la esperanza de robar datos confidenciales y realizar robos financieros, un hecho evidenciado por las comprobaciones del RAT para determinar si la extensión del navegador MetaMask está instalada en la máquina.
“La evidencia sugiere que se tráfico de una campaña muy sofisticada”, dijo ReversingLabs. “Su modularidad, su naturaleza duradera, su paciencia para originar confianza entre los diferentes instrumentos de la campaña y la complejidad del malware enigmático y de múltiples capas apuntan al trabajo de un actor de amenazas patrocinado por el estado”.
Se encontraron más paquetes npm maliciosos
La divulgación se produce cuando JFrog descubrió un paquete npm sofisticado y solapado llamado “duer-js” publicado por un adjudicatario llamado “luizaearlyx”. Si acertadamente la biblioteca afirma ser una utilidad para “hacer más visible la ventana de la consola”, alberga un bandido de información de Windows llamado Rinoceronte Stealer.
Es capaz de compilar tokens de Discord, contraseñas, cookies y datos de autocompletar de Google Chrome, Microsoft Edge, Brave, Opera y Yandex Browser, detalles de billeteras de criptomonedas e información del sistema. Luego, los datos se extraen a un webhook de Discord, así como al servicio de almacenamiento de archivos Gofile como copia de seguridad.
“Adicionalmente de robar información del host que infectó, el paquete solapado descarga una carga secundaria”, dijo el investigador de seguridad Guy Korolevski. “Esta carga útil está diseñada para ejecutarse al iniciar la aplicación Discord Desktop, con capacidades de modernización cibernética, robando directamente de ella, incluidos los métodos de plazo utilizados por el adjudicatario”.
Todavía coincide con el descubrimiento de otra campaña de malware que utiliza npm como armas para trastornar a los desarrolladores mediante pagos en criptomonedas durante la instalación del paquete utilizando el comando “npm install”. La campaña, registrada por primera vez el 4 de febrero de 2026, OpenSourceMalware la denominó XPACK ATTACK.
 |
| flujo de paquete solapado duer-js, secuestrando el entorno Electron de Discord |
Los nombres de los paquetes, todos subidos por un adjudicatario llamado “dev.chandra_bose”, se enumeran a continuación:
- xpack-por-usuario
- xpack-por-dispositivo
- xpack-sui
- suscripción-xpack
- puerta de enlace xpack-arc
- xpack-video-envío
- estilo-npm de prueba
- prueba-de-suscripción-xpack
- paquete-de-prueba-xdsfdsfsc
“A diferencia del malware tradicional que roba credenciales o ejecuta shells inversos, este ataque abusa de forma innovadora del código de estado HTTP 402 ‘Suscripción requerido’ para crear un pared de plazo aparentemente probado”, dijo el investigador de seguridad Paul McCarty. “El ataque bloquea la instalación hasta que las víctimas pagan 0,1 USDC/ETH en la billetera del atacante, mientras recopila nombres de adjudicatario de GitHub y huellas digitales del dispositivo”.
“Si se niegan a remunerar, la instalación simplemente rotura posteriormente de perder más de 5 minutos de su tiempo de exposición, y es posible que ni siquiera se den cuenta de que han enfrentado malware frente a lo que parecía ser un pared de plazo probado para conseguir a los paquetes”.
