sep 03, 2025Ravie Lakshmananmalware / Ingeniería Social Los investigadores de seguridad cibernética han descubierto dos nuevos paquetes maliciosos en el registro de NPM que utilizan contratos inteligentes para la cadena de bloques de Ethereum para llevar a cabo acciones maliciosas en los sistemas comprometidos. «Los dos paquetes de NPM abusaron de contratos inteligentes para ocultar comandos maliciosos que instalaron malware descargador en sistemas comprometidos», dijo la investigadora de reversinglabs, Lucija Valentić, en un informe compartido con Hacker News. Los paquetes, ambos cargados en NPM en julio de 2025 y ya no están disponibles para descargar, se enumeran a continuación: la firma de seguridad de la cadena de suministro de software dijo que las bibliotecas son parte de una campaña más grande y sofisticada que afecta tanto a NPM como a GitHub, engañando a los desarrolladores inesperados para que descarguen y ejecutenlas. Si bien los paquetes en sí no hacen ningún esfuerzo para ocultar su funcionalidad maliciosa, ReversingLabs señaló que los proyectos de Github que importaron estos paquetes se esforzaron para que parecieran creíbles. En cuanto a los paquetes en sí, el comportamiento nefasto se activa una vez que se usa o se incluye en algún otro proyecto, lo que hace que busque y ejecute una carga útil de la próxima etapa de un servidor controlado por el atacante. Aunque este es el costo para el curso cuando se trata de descargadores de malware, donde se distingue es el uso de contratos inteligentes de Ethereum para organizar las URL que alojan la carga útil, una técnica que recuerda a Etherhiding. El cambio subraya las nuevas tácticas que los actores de amenaza están adoptando para evadir la detección. Una investigación adicional sobre los paquetes ha revelado que se hace referencia en una red de repositorios de GitHub que afirman ser un Solana-Trading-Bot-V2 que aprovecha los «datos en la cadena en tiempo real para ejecutar operaciones automáticamente, ahorrando su tiempo y esfuerzo». La cuenta de GitHub asociada con el repositorio ya no está disponible. Se evalúa que estas cuentas son parte de una oferta de distribución como servicio (DAAS) llamada Stargazers Ghost Network, que se refiere a un grupo de cuentas falsas de Github que se sabe que protagoniza, bifurcan, observa, compromete y se suscribe a repositorios maliciosos para inflar artificialmente su popularidad. Entre los compromisos se encuentran cambios en el código fuente para importar Colortoolsv2. Algunos de los otros repositorios capturados empujando el paquete NPM son Ethereum-Mev-Bot-V2, arbitraje-bots y hiperliquid-trading-bot. El nombramiento de estos repositorios de GitHub sugiere que los desarrolladores y usuarios de criptomonedas son el objetivo principal de la campaña, utilizando una combinación de ingeniería social y engaño. «Es fundamental que los desarrolladores evalúen cada biblioteca que están considerando implementar antes de decidir incluirla en su ciclo de desarrollo», dijo Valentić. «Y eso significa retirar las portadas de los paquetes de código abierto y sus mantenedores: mirar más allá de los números crudos de los mantenedores, los compromisos y las descargas para evaluar si un paquete determinado y los desarrolladores detrás de él son lo que se presentan».