Los investigadores de seguridad cibernética han descubierto un paquete malicioso llamado “OS-Info-Checker-ES6” que se disfraza de una utilidad de información del sistema operativo para eliminar sigilosamente una carga útil de la próxima etapa en sistemas comprometidos.
“Esta campaña emplea una inteligente esteganografía basada en Unicode para ocultar su código malicioso inicial y utiliza un enlace corto del evento calendario de Google como un gotero dinámico para su carga útil final”, dijo Veracode en AR AReport compartido con las noticias del hacker.
“OS-Info-Checker-ES6” fue Primero publicado en el Registro de NPM el 19 de marzo de 2025, por un usuario llamado “Kim9123”. Se ha descargado 2.001 veces a partir de escribir. El mismo usuario también tiene cargado Otro paquete NPM llamado “Skip-Tot” que enumera “OS-Info-Checker-ES6” como una dependencia. El paquete ha sido descargado 94 veces.
Si bien las cinco versiones iniciales no exhibieron signos de exfiltración de datos o comportamiento malicioso, se ha encontrado que una iteración posterior cargada el 7 de mayo de 2025 incluye el código ofuscado en el archivo “preinstall.js” para analizar unicodeando los caracteres de “acceso de uso privado” y extraer una carga útil de la próxima etapa.
El código malicioso, por su parte, está diseñado para contactar un enlace corto al evento del calendario de Google (“Calendar.App[.]Google/
Sin embargo, no se distribuyen cargas útiles adicionales en este momento. Esto indica que la campaña sigue siendo un trabajo en progreso o actualmente inactivo. Otra posibilidad es que ya haya concluido, o que el servidor de comando y control (C2) está diseñado para responder solo a máquinas específicas que cumplan ciertos criterios.
“Este uso de un servicio legítimo y ampliamente confiable como Google Calendar como intermediario para alojar el siguiente enlace C2 es una táctica inteligente para evadir la detección y hacer que el bloqueo de las etapas iniciales del ataque sea más difícil”, dijo Veracode.
La compañía de seguridad de la aplicación y el aikido, que también detallado La actividad señaló además que otros tres paquetes han enumerado “OS-Info-Checker-ES6” como una dependencia, aunque se sospecha que los paquetes dependientes son parte de la misma campaña,
- vue-dev-serverr
- vue-dummy
- vue-bit
“El paquete OS-Info-Checker-ES6 representa una amenaza sofisticada y en evolución dentro del ecosistema NPM”, dijo Veracode. “El atacante demostró una progresión de pruebas aparentes a desplegar un malware de varias etapas”.
La divulgación se produce cuando la compañía de seguridad de la cadena de suministro de software se destacó a los escritos tipoquatting, el abuso de almacenamiento en caché del repositorio de GO, la ofuscación, la ejecución de varias etapas, el descremado y el abuso de servicios legítimos y herramientas de desarrolladores como las seis técnicas adversas principales adoptadas por los actores de amenazas en el primer semestre de 2025.
“Para contrarrestar esto, los defensores deben centrarse en señales de comportamiento, como scripts inesperados posteriores a la instalación, sobrescrituras de archivos y tráfico saliente no autorizado, mientras validan paquetes de terceros antes de su uso”, los investigadores de seguridad Kirill Boychenko y Philipp Burckhardtttttttttttttttttttt dicho.
“El análisis estático y dinámico, la fijación de la versión y la inspección cercana de los registros de CI/CD son esenciales para detectar dependencias maliciosas antes de alcanzar la producción”.
About the Author
