Expertos en ciberseguridad han identificado múltiples paquetes maliciosos en los repositorios de código npm y Python Package Index (PyPI), utilizados para sustraer información sensible y, en algunos casos, eliminar archivos de los sistemas comprometidos.

Paquetes maliciosos identificados

Los paquetes detectados incluyen técnicas de engaño tipográfico (typosquatting) para engañar a los desarrolladores y hacer que instalen versiones fraudulentas de librerías populares. A continuación, se detallan los paquetes afectados:

• @async-mutex/mutex (suplantación de sync-mute, npm)
• dexscreener (aparenta ser una biblioteca para datos de DEX Screener, npm)
• solana-transaction-toolkit (npm)
• solana-stable-web-huks (npm)
• cschokidar-next (suplantación de chokidar, npm)
• achokidar-next (suplantación de chokidar, npm)
• achalk-next (suplantación de chalk, npm)
• cschalk-next (suplantación de chalk, npm)
• cschalk (suplantación de chalk, npm)
• pycord-self (suplantación de discord.py-self, PyPI)

Ataques dirigidos a claves privadas de Solana

Según la firma de seguridad Socket, los cuatro primeros paquetes fueron diseñados para interceptar claves privadas de Solana y enviarlas a servidores SMTP de Gmail. Estos paquetes permiten a los atacantes vaciar billeteras de criptomonedas de las víctimas sin su conocimiento.

Los paquetes solana-transaction-toolkit y solana-stable-web-huks ejecutan transferencias automáticas de hasta el 98% de los fondos de las billeteras a una dirección de Solana bajo control de los atacantes. Al usar SMTP de Gmail, los atacantes logran evadir firewalls y sistemas de detección, ya que el tráfico es percibido como legítimo.

Además, se encontraron repositorios de GitHub, creados por los mismos actores maliciosos, que presentan estos paquetes como herramientas legítimas para el desarrollo en Solana. Estos repositorios, bajo las cuentas moonshot-wif-hwan y Diveinprogramming, han sido eliminados tras su descubrimiento.

Funcionalidad de borrado de datos en paquetes npm

Otro grupo de paquetes maliciosos en npm va un paso más allá, incluyendo una función de «interruptor de apagado» que elimina archivos en ciertos directorios. En algunos casos, también exfiltran variables de entorno a servidores remotos.

El paquete csbchalk-next, por ejemplo, activa la eliminación de datos solo cuando recibe un código de respuesta 202 desde su servidor de comando y control.

Robo de credenciales en PyPI

El paquete pycord-self, orientado a desarrolladores que integran APIs de Discord en Python, captura tokens de autenticación y establece una puerta trasera en sistemas Windows y Linux. Una vez instalado, permite a los atacantes acceder de manera persistente a los sistemas comprometidos.

Ataques adicionales a usuarios de Roblox

Estos descubrimientos coinciden con campañas de ciberataques dirigidos a la comunidad de Roblox. Los ciberdelincuentes están distribuyendo bibliotecas falsas con malware de código abierto como Skuld y Blank-Grabber, diseñadas para robar credenciales e información personal.

Estos hallazgos refuerzan la importancia de verificar la autenticidad de las bibliotecas antes de instalarlas. Los desarrolladores deben inspeccionar los repositorios oficiales y evitar instalar paquetes de fuentes no verificadas.

Más información:

• Hackers deploy malicious npm packages to steal Solana wallet keys via Gmail SMTP
• Hackers weaponize npm packages to steal Solana private keys
• Malicious npm and PyPI target Solana private keys