Los investigadores de ciberseguridad han descubierto dos nuevos paquetes maliciosos en el registro de NPM que hacen uso de contratos inteligentes para que Ethereum Blockchain realice acciones maliciosas en sistemas comprometidos, lo que indica la tendencia de los actores de amenaza constantemente en la búsqueda de nuevas formas de distribuir malware y demoler bajo el radar.
“Los dos paquetes de NPM abusaron de contratos inteligentes para ocultar comandos maliciosos que instalaron malware descargador en sistemas comprometidos”, dijo la investigadora de reversinglabs, Lucija Valentić, en un mensaje compartido con Hacker News.
Los paquetes, uno y otro cargados a NPM en julio de 2025 y ya no están disponibles para descargar, se enumeran a continuación –
La firma de seguridad de la prisión de suministro de software dijo que las bibliotecas son parte de una campaña más magnate y sofisticada que afecta tanto a NPM como a GitHub, engañando a los desarrolladores desprevenidos para que los descarguen y la ejecución.
Si adecuadamente los paquetes en sí no hacen ningún esfuerzo para ocultar su funcionalidad maliciosa, ReversingLabs señaló que los proyectos de Github que importaron estos paquetes se esforzaron para que parecieran creíbles.
En cuanto a los paquetes en sí, el comportamiento nefasto se activa una vez que se usa o se incluye en algún otro tesina, lo que hace que busque y ejecute una carga útil de la próxima etapa de un servidor controlado por el atacante.
Aunque este es el costo para el curso cuando se prostitución de descargadores de malware, donde se distingue es el uso de contratos inteligentes de Ethereum para organizar las URL que alojan la carga útil, una técnica que recuerda a Etherhiding. El cambio subraya las nuevas tácticas que los actores de amenaza están adoptando para esquivar la detección.
Una investigación adicional sobre los paquetes ha revelado que se hace remisión en una red de repositorios de GitHub que afirman ser un Solana-Trading-Bot-V2 que aprovecha los “datos en la prisión en tiempo vivo para ejecutar operaciones automáticamente, ahorrando su tiempo y esfuerzo”. La cuenta de GitHub asociada con el repositorio ya no está apto.
Se evalúa que estas cuentas son parte de una proposición de distribución como servicio (DAAS) emplazamiento Stargazers Ghost Network, que se refiere a un orden de cuentas falsas de Github que se sabe que protagoniza, bifurcan, observa, compromete y se suscribe a repositorios maliciosos para inflar artificialmente su popularidad.
Entre los compromisos se encuentran cambios en el código fuente para importar Colortoolsv2. Algunos de los otros repositorios capturados empujando el paquete NPM son Ethereum-Mev-Bot-V2, arbitraje-bots y hiperliquid-trading-bot.
El nominación de estos repositorios de GitHub sugiere que los desarrolladores y usuarios de criptomonedas son el objetivo principal de la campaña, utilizando una combinación de ingeniería social y enredo.
“Es fundamental que los desarrolladores evalúen cada biblioteca que están considerando implementar antaño de atreverse incluirla en su ciclo de exposición”, dijo Valentić. “Y eso significa retirar las portadas de los paquetes de código rajado y sus mantenedores: mirar más allá de los números crudos de los mantenedores, los compromisos y las descargas para evaluar si un paquete determinado y los desarrolladores detrás de él son lo que se presentan”.
