Investigadores de ciberseguridad han identificado un aumento reciente de la actividad maliciosa que involucra a grupos de amenazas vinculados a Corea del Norte, lo que revela una campaña coordinada dirigida al ecosistema npm.

La campaña comenzó el 12 de agosto de 2024 e implicó la publicación de paquetes npm maliciosos diseñados para infiltrarse en entornos de desarrolladores y robar datos confidenciales.

Los paquetes recién descubiertos, incluidos temp-etherscan-api, ethersscan-api y telegram-con, exhiben tácticas sofisticadas como JavaScript ofuscado en varias etapas que descarga malware adicional desde servidores remotos.

Según una publicación de blog publicada por Phylum, el malware incluye scripts de Python y un intérprete de Python completo, que buscan datos en las extensiones del navegador de la billetera de criptomonedas mientras establecen la persistencia en los sistemas afectados. Cabe destacar que el paquete qq-console se atribuye a una conocida campaña norcoreana llamada “Contagious Interview”.

Los expertos identificaron otro paquete, helmet-validate, publicado el 23 de agosto de 2024, que emplea un método de ataque diferente. Inserta código JavaScript que recupera y ejecuta código malicioso desde un punto final remoto, ipcheck[.]cloud. Este dominio está vinculado a operaciones norcoreanas anteriores, incluidas campañas de empleo falsas que utilizan el dominio mirotalk[.]net, lo que destaca un patrón de tácticas recurrentes.

El paquete más reciente, sass-notification, se publicó el 27 de agosto de 2024 y está vinculado a la campaña “Moonstone Sleet”. Este paquete utiliza JavaScript ofuscado para ejecutar scripts que descargan, descifran y ejecutan cargas útiles remotas mientras eliminan rastros de actividad maliciosa, dejando atrás lo que parece ser un software inofensivo.

Phylum advirtió que estos ataques subrayan la creciente explotación de npm por parte de actores de amenazas para comprometer los sistemas de los desarrolladores.