Se han identificado seis paquetes maliciosos en NPM (el administrador de paquetes de Node.js) que están vinculados al famoso grupo de hackers norcoreano Lazarus. Estos paquetes, que lograron acumular unas 330 descargas antes de ser detectados, no eran simples líneas de código inofensivas: estaban diseñados para robar credenciales, instalar puertas traseras en los sistemas infectados e incluso extraer información confidencial de criptomonedas.
Lo preocupante es que este tipo de ataque puede pasar fácilmente desapercibido, incluso para los desarrolladores más experimentados. Si trabajas con Node.js o manejas proyectos web, es fundamental que sepas qué ocurrió y, lo más importante, cómo protegerte. Aquí te lo explicamos.
El grupo de hackers Lazarus ha vuelto a hacer de las suyas, esta vez colando paquetes maliciosos en NPM, el popular gestor de paquetes para JavaScript que millones de desarrolladores usan a diario. Su táctica es especialmente peligrosa porque permite que los sistemas se vean comprometidos sin que nadie lo note de inmediato.
No es la primera vez que estos atacantes emplean esta estrategia. Se han detectado campañas similares en plataformas como GitHub y PyPI (Python Package Index), siempre con el mismo objetivo: obtener acceso inicial a redes valiosas. Con esta técnica, Lazarus ha logrado llevar a cabo ataques masivos, como el robo de 1.500 millones de dólares en criptomonedas del exchange Bybit.
En este último ataque a NPM, los hackers utilizaron una técnica conocida como typosquatting, que consiste en crear paquetes con nombres muy similares a bibliotecas legítimas para engañar a los desarrolladores e inducirlos a instalarlos por error.
Estos fueron los seis paquetes maliciosos descubiertos:
Estos paquetes no solo roban información confidencial (como datos del navegador, contraseñas almacenadas, cookies e historiales de navegación) sino que también instalan malware avanzado como BeaverTail y la puerta trasera InvisibleFerret.
Curiosamente, estos mismos programas maliciosos ya habían sido utilizados por Lazarus en campañas previas, donde se hacían pasar por ofertas de trabajo falsas para engañar a sus víctimas e instalar el malware.
Este ataque es una clara advertencia para los desarrolladores: incluso las herramientas más confiables pueden ser explotadas si no se toman las precauciones adecuadas.
Fragmento de código que descarga cargas útiles de malware
El código de estos paquetes está diseñado para recopilar información del sistema, como el nombre del host, el sistema operativo y los directorios principales, según detalla el informe.
Pero eso no es todo. También revisa los perfiles del navegador en busca de archivos confidenciales, como datos de inicio de sesión guardados en Chrome, Brave y Firefox, además de archivos de llavero en macOS.
Y por si fuera poco, el malware también va tras las billeteras de criptomonedas, específicamente extrayendo el archivo id.json de Solana y el archivo exodus.wallet de Exodus.
Lo preocupante es que los seis paquetes maliciosos vinculados a Lazarus todavía siguen disponibles en NPM y en repositorios de GitHub, lo que significa que la amenaza sigue activa.
Por eso, si eres desarrollador, es clave que verifiques cuidadosamente los paquetes que usas en tus proyectos y revises el código de las bibliotecas de código abierto para detectar señales sospechosas, como código ofuscado o llamadas inesperadas a servidores externos.