- Diez paquetes NPM con errores tipográficos entregaron malware de robo de información a casi 10.000 sistemas
- El malware se dirige a la codificación del sistema y elude la seguridad a nivel de aplicación para robar credenciales descifradas
- Los usuarios afectados deben revocar certificados, reconstruir sistemas y habilitar la autenticación multifactor
Alrededor de una docena de paquetes NPM maliciosos, que entregaban malware peligroso para robar información, se descargaron casi 10.000 veces antes de ser detectados y eliminados.
Recientemente, el investigador de seguridad Socket npm encontró 10 paquetes dirigidos a desarrolladores de software, especialmente aquellos que utilizan el ecosistema npm (Node Package Manager) para instalar bibliotecas JavaScript y Node.js.
Se cargaron en julio de 2025 y, como sugieren los nombres, son en su mayoría variantes tipográficas de paquetes populares, como TypeScript, discord.js, ethers.js y otros. En conjunto, se descargaron 9.900 veces antes de ser eliminados de la plataforma.
Cómo mantenerse seguro
Aquí está la lista completa:
deezcord.js
dezcord.js
dizcordjs
etherdjs
etesjs
etetsjs
nodemonio
reaccionar-enrutador-dom.js
mecanografiadojs
estado.js
Los Infostellars fueron diseñados para recopilar credenciales de claves del sistema, navegadores y servicios de autenticación. Han trabajado en todas las plataformas principales, incluidas Windows, Linux y macOS.
“El malware utiliza cuatro niveles de ofuscación para ocultar su carga útil, mostrar un captcha falso para parecer legítimo, buscar huellas dactilares por dirección IP y descargar un ladrón de datos empaquetado en un instalador de 24 MB”, explicó el investigador de seguridad de Socket, Kush Pandya.
Los llaveros del sistema son un objetivo particularmente importante, explicó Pandya, ya que almacenan credenciales para servicios importantes como clientes de correo electrónico, herramientas de sincronización de almacenamiento en la nube, administradores de contraseñas, frases de contraseña SSH, cadenas de conexión de bases de datos y otras aplicaciones que se integran con el almacén de certificados del sistema operativo.
“Al apuntar directamente al conjunto de claves, el malware evade la seguridad a nivel de aplicación y recopila las credenciales almacenadas en su forma descifrada. Estas credenciales proporcionan acceso inmediato al correo electrónico corporativo, almacenamiento de archivos, redes internas y bases de datos de producción”.
Obviamente, si ha instalado alguno de los paquetes mencionados anteriormente, debe considerar que su sistema no está comprometido en absoluto. Para reducir el riesgo, desconecte el sistema afectado de Internet, revoque todos los certificados expuestos posibles (claves SSH, tokens de API, tokens de acceso de GitHub o GitHub, claves de proveedor de nube (AWS, GCP, Azure), tokens de npm y cualquier certificado, se deben cambiar todos los certificados almacenados en el navegador, el sistema y las contraseñas almacenadas en el navegador, y audite sus dependencias de npm y archivos de bloqueo.
Finalmente, debe revisar los registros del sistema y de la red en busca de actividad sospechosa o conexiones salientes a dominios desconocidos y habilitar la autenticación multifactor en todas las cuentas.
a través de Noticias de piratas informáticos
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
