Un reciente aumento en la actividad maliciosa que involucra a grupos de amenazas vinculados a Corea del Norte ha sido identificado por investigadores de ciberseguridad, revelando una campaña coordinada dirigida al ecosistema npm. La campaña comenzó el 12 de agosto de 2024 e implicó la publicación de paquetes npm maliciosos diseñados para infiltrarse en entornos de desarrolladores y robar datos confidenciales. Los paquetes recién descubiertos, incluidos temp-etherscan-api, ethersscan-api y telegram-con, exhiben tácticas sofisticadas como JavaScript ofuscado de múltiples etapas que descarga malware adicional de servidores remotos. Paquetes npm maliciosos Según una publicación de blog publicada por Phylum hoy, el malware incluye scripts de Python y un intérprete de Python completo, que buscan datos en las extensiones del navegador de billeteras de criptomonedas mientras establecen persistencia en los sistemas afectados. En particular, el paquete qq-console se atribuye a una conocida campaña norcoreana llamada «Contagious Interview». Los investigadores identificaron otro paquete, helmet-validate, publicado el 23 de agosto de 2024, que emplea un método de ataque diferente. Inserta código JavaScript que recupera y ejecuta código malicioso desde un punto final remoto, ipcheck[.]nube. Este dominio está vinculado a operaciones norcoreanas anteriores, incluidas campañas de empleo falsas que utilizan mirotalk[.]net, lo que pone de relieve un patrón de tácticas recurrentes. El paquete más reciente, sass-notification, se publicó el 27 de agosto de 2024 y está vinculado a la campaña «Moonstone Sleet». Este paquete utiliza JavaScript ofuscado para ejecutar scripts que descargan, descifran y ejecutan cargas útiles remotas mientras eliminan los rastros de actividad maliciosa, dejando atrás lo que parece ser un software inofensivo. Lea más sobre las ciberamenazas de Corea del Norte: Los piratas informáticos norcoreanos falsifican correos electrónicos de periodistas para espiar a los expertos en políticas Aumenta la explotación de npm por parte de los actores de amenazas Phylum advirtió que estos ataques subrayan la creciente explotación de npm por parte de los actores de amenazas para comprometer los sistemas de los desarrolladores. «La diversidad y el despliegue simultáneo de estos vectores de ataque revelan una campaña coordinada e implacable por parte de actores de amenazas alineados con Corea del Norte», dijo la empresa. «Estos adversarios explotan continuamente la confianza inherente en el ecosistema npm para comprometer a los desarrolladores, infiltrarse en empresas y robar criptomonedas o cualquier otro activo que pueda generar ganancias financieras ilícitas».