Los investigadores de ciberseguridad han identificado tres conjuntos de paquetes maliciosos en el repositorio npm y Python Package Index (PyPI) que vienen con capacidades para robar datos e incluso eliminar datos confidenciales de los sistemas infectados.<\/p>\n
La lista de paquetes identificados se encuentra a continuaci\u00f3n:<\/p>\n
- \n
- @async-mutex\/mutex, un error tipogr\u00e1fico de async-mute (npm)<\/li>\n
- dexscreener, que se hace pasar por una biblioteca para acceder a datos del fondo de liquidez de intercambios descentralizados (DEX) e interactuar con la plataforma DEX Screener (npm)<\/li>\n
- kit de herramientas-de-transacci\u00f3n-solana (npm)<\/li>\n
- solana-stable-web-huks (npm)<\/li>\n<\/ul>\n
- \n
- cschokidar-next, un typosquat de chokidar (npm)<\/li>\n
- achokidar-next, un typosquat de chokidar (npm)<\/li>\n
- achalk-next, un typosquat de tiza (npm)<\/li>\n
- csbchalk-next, un typosquat de tiza (npm)<\/li>\n
- cschalk, un typosquat de tiza (npm)<\/li>\n<\/ul>\n
- \n
- pycord-self, un tipo de discord.py-self (PyPI)<\/li>\n<\/ul>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\")
<\/a><\/center><\/div>\nLa empresa de seguridad de la cadena de suministro Socket, que descubierto<\/a> los paquetes, dijo que los primeros cuatro paquetes est\u00e1n dise\u00f1ados para interceptar las claves privadas de Solana y transmitirlas a trav\u00e9s del Protocolo simple de transferencia de correo de Gmail (SMTP<\/a>) servidores con el objetivo probable de vaciar las billeteras de las v\u00edctimas.<\/p>\n
En particular, los paquetes solana-transaction-toolkit y solana-stable-web-huks agotan program\u00e1ticamente la billetera, transfiriendo autom\u00e1ticamente hasta el 98% de su contenido a una direcci\u00f3n de Solana controlada por el atacante, mientras afirman ofrecer una funcionalidad espec\u00edfica de Solana.<\/p>\n
“Debido a que Gmail es un servicio de correo electr\u00f3nico confiable, es menos probable que estos intentos de exfiltraci\u00f3n sean detectados por firewalls o sistemas de detecci\u00f3n de terminales, que tratan a smtp.gmail.com como tr\u00e1fico leg\u00edtimo”, dijo el investigador de seguridad Kirill Boychenko.<\/p>\n
Socket dijo que tambi\u00e9n encontr\u00f3 dos repositorios de GitHub publicados por los actores de amenazas detr\u00e1s de solana-transaction-toolkit y solana-stable-web-huks que pretenden contener herramientas de desarrollo de Solana o scripts para automatizar flujos de trabajo comunes de DeFi, pero, en realidad, importan el Paquetes npm maliciosos del actor de amenazas.<\/p>\n
![\"Paquetes](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1737356251_714_Los-piratas-informaticos-implementan-paquetes-npm-maliciosos-para-robar-claves.png\" "\\"Paquetes")
<\/a><\/div>\nYa no se puede acceder a las cuentas de GitHub asociadas con estos repositorios, “moonshot-wif-hwan” y “Diveinprogramming”.<\/p>\n
“Un script en el repositorio GitHub del actor de amenazas, moonshot-wif-hwan\/pumpfun-bump-script-bot, se promociona como un bot para operar en Raydium, un popular DEX basado en Solana, pero en lugar de eso importa c\u00f3digo malicioso de solana- paquete stable-web-huks”, dijo Boychenko.<\/p>\n
El uso de repositorios maliciosos de GitHub ilustra los intentos de los atacantes de organizar una campa\u00f1a m\u00e1s amplia m\u00e1s all\u00e1 de npm, dirigida a desarrolladores que podr\u00edan estar buscando herramientas relacionadas con Solana en la plataforma de alojamiento de c\u00f3digo propiedad de Microsoft.<\/p>\n
El segundo conjunto de paquetes npm ha sido encontr\u00f3<\/a> para llevar su funcionalidad maliciosa al siguiente nivel incorporando una funci\u00f3n de “desconexi\u00f3n autom\u00e1tica” que borra recursivamente todos los archivos en directorios espec\u00edficos del proyecto, adem\u00e1s de exfiltrar variables de entorno a un servidor remoto en algunos casos.<\/p>\n
El paquete csbchalk-next falsificado funciona de manera id\u00e9ntica a las versiones tipogr\u00e1ficas de chokidar, con la \u00fanica diferencia de que solo inicia la operaci\u00f3n de eliminaci\u00f3n de datos despu\u00e9s de recibir el c\u00f3digo “202” del servidor.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1735735832_165_Entidades-iranies-y-rusas-sancionadas-por-interferencia-electoral-utilizando-inteligencia.png\")
<\/a><\/center><\/div>\nPycord-self, por otro lado, destaca a los desarrolladores de Python<\/a> buscan integrar las API de Discord en sus proyectos, capturar tokens de autenticaci\u00f3n de Discord y conectarse a un servidor controlado por un atacante para un acceso persistente por puerta trasera despu\u00e9s de la instalaci\u00f3n en sistemas Windows y Linux.<\/p>\n
El desarrollo se produce cuando los malos actores se dirigen a los usuarios de Roblox con bibliotecas fraudulentas dise\u00f1adas para facilitar el robo de datos utilizando malware ladr\u00f3n de c\u00f3digo abierto como Skuld y Blank-Grabber. El a\u00f1o pasado, Imperva revel\u00f3<\/a> que los jugadores de Roblox que buscan trucos y modificaciones para juegos tambi\u00e9n han sido atacados por paquetes PyPI falsos que los enga\u00f1an para que descarguen las mismas cargas \u00fatiles.<\/p>\n
<\/p>\n
- pycord-self, un tipo de discord.py-self (PyPI)<\/li>\n<\/ul>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Los-piratas-informaticos-implementan-paquetes-npm-maliciosos-para-robar-claves.png\")
<\/a><\/center><\/div>\n