Los investigadores de seguridad cibernética han descubierto un nuevo paquete Malicioso NPM que se hace pasar por la biblioteca NodEmailer ampliamente utilizada. El paquete, llamado «NodeJS-SMTP», no solo funcionó como un remitente de correo electrónico sino que también inyectó código en billeteras de criptomonedas de escritorio, redirigiendo silenciosamente las transacciones a las billeteras controladas por el atacante. Cuando se importó, NodeJS-SMTP usó herramientas de electrones para manipular con la billetera atómica en las ventanas. El paquete desempaquetó el archivo de la aplicación, reemplazó un archivo de proveedor con código malicioso, reempaquetó la aplicación y luego eliminó las trazas del proceso. Una vez activa dentro de la billetera, la carga útil sobrescribió la dirección del destinatario durante las transacciones con direcciones preestablecidas vinculadas al atacante. Esto permitió el robo de Bitcoin (BTC), Ethereum (ETH), Tether (USDT), TRX (USDT), XRP y Solana (SOL). El equipo de investigación de amenazas de Socket, que descubrió la amenaza, dijo que aunque el paquete seguía siendo capaz de enviar correos electrónicos, su cobertura funcional ocultó las operaciones maliciosas. Los desarrolladores que prueban las aplicaciones generalmente vieron los resultados esperados, lo que hace que sea menos probable que cuestionaran la dependencia. Lea más sobre la seguridad de la billetera de criptomonedas: paquete NPM secuestrado para robar datos y cripto a través de malware con AI El paquete se publicó bajo el alias Nikotimon, con un correo electrónico de registro atado a Darkhorse.tech322@gmail[.]com. Los investigadores de Socket señalaron que el atacante no había acumulado fondos significativos, probablemente porque la campaña es reciente. Sin embargo, advierten que las herramientas eran «deliberadas, reutilizables y escalables». Socket solicitó al equipo de seguridad de NPM tanto la eliminación del paquete como la suspensión de la cuenta asociada, que ahora se han completado. Por qué los desarrolladores están en riesgo, el paquete malicioso tenía solo 342 descargas en el momento de la publicación de Socket, en comparación con las descargas semanales de 3.9 millones de NodeMailer. Sin embargo, su nombre convincente, el estilo copiado y el readme casi idéntico facilitaron a los desarrolladores bajo presión confundirlo con la biblioteca real. Ese riesgo fue agravado por asistentes de codificación de IA, lo que puede sugerir nombres de paquetes plausibles pero incorrectos. Las razones comunes de los desarrolladores pueden elegir inadvertidamente NodeJS-SMTP incluidos: los investigadores de Socket enfatizaron que esta campaña demuestra cómo una sola importación puede modificar aplicaciones no relacionadas en la estación de trabajo de un desarrollador. Al combinar la ejecución del tiempo de importación con la manipulación de electrones, un correo de aspecto inofensivo se convirtió en un drenador de billetera. El equipo espera que surja más ataques de este tipo, que afectan no solo a Ethereum y Solana, sino también a Tron, ton y otras cadenas. Socket aconsejó a los desarrolladores que confiaran en las herramientas de seguridad que escanean solicitudes, bloquean las dependencias sospechosas en el tiempo de instalación y los paquetes de la bandera.