Los investigadores de seguridad cibernética han descubierto un paquete bellaco llamado “OS-Info-Checker-ES6” que se disfraza de una utilidad de información del sistema operante para eliminar sigilosamente una carga útil de la próxima etapa en sistemas comprometidos.
“Esta campaña emplea una inteligente esteganografía basada en Unicode para ocultar su código bellaco auténtico y utiliza un enlace corto del evento calendario de Google como un cuentagotas dinámico para su carga útil final”, dijo Veracode en un documentación compartido con Hacker News.
“OS-Info-Checker-ES6” fue publicado por primera vez en el Registro de NPM el 19 de marzo de 2025 por un agraciado llamado “Kim9123”. Se ha descargado 2.001 veces a partir de la escritura. El mismo agraciado además ha cargado otro paquete NPM llamado “Skip-Tot” que enumera “OS-Info-Checker-ES6” como una dependencia. El paquete se ha descargado 94 veces.
Si admisiblemente las cinco versiones iniciales no exhibieron signos de exfiltración de datos o comportamiento bellaco, se ha opuesto que una iteración posterior cargada el 7 de mayo de 2025 incluye el código ofuscado en el archivo “preinstall.js” para analizar unicodeando los caracteres de “ataque de uso privado” y extraer una carga útil de la próxima etapa.
El código bellaco, por su parte, está diseñado para contactar un enlace corto al evento del calendario de Google (“Calendar.app (.) Google/
Sin bloqueo, no se distribuyen cargas avíos adicionales en este momento. Esto indica que la campaña sigue siendo un trabajo en progreso o actualmente inactivo. Otra posibilidad es que ya haya concluido, o que el servidor de comando y control (C2) está diseñado para replicar solo a máquinas específicas que cumplan ciertos criterios.
“Este uso de un servicio seguro y ampliamente confiable como Google Calendar como intermediario para encajar el posterior enlace C2 es una táctica inteligente para escamotear la detección y hacer que el obstrucción de las etapas iniciales del ataque sea más difícil”, dijo Veracode.
La compañía de seguridad de la aplicación y Aikido, que además detallaron la actividad, señalaron por otra parte que otros tres paquetes han enumerado “OS-Info-Checker-ES6” como dependencia, aunque se sospecha que los paquetes dependientes son parte de la misma campaña,
- Horizonte de dev-trerverr
- Municipio
- Visión
“El paquete OS-Info-Checker-ES6 representa una amenaza sofisticada y en crecimiento en el interior del ecosistema NPM”, dijo Veracode. “El atacante demostró una progresión de pruebas aparentes a desplegar un malware de varias etapas”.
La divulgación se produce cuando la compañía de seguridad de la condena de suministro de software se destacó a los escritos tipoquatting, el tropelía de almacenamiento en personalidad del repositorio de GO, la ofuscación, la ejecución de varias etapas, el descremado y el tropelía de servicios legítimos y herramientas de desarrolladores como las seis técnicas adversas principales adoptadas por los actores de amenazas en el primer semestre de 2025.
“Para contrarrestar esto, los defensores deben centrarse en señales de comportamiento, como scripts inesperados posteriores a la instalación, sobrescrituras de archivos y tráfico de salida no facultado, al tiempo que validan los paquetes de terceros antaño de su uso”, dijeron los investigadores de seguridad Kirill Boychenko y Philipp Burckhardt.
“El observación suspenso y dinámico, la fijación de la interpretación y la inspección cercana de los registros de CI/CD son esenciales para detectar dependencias maliciosas antaño de alcanzar la producción”.
