Se han descubierto varios paquetes maliciosos en los repositorios de paquetes de NPM, Python y Ruby que drenan los fondos de las billeteras de criptomonedas, borran las bases de código enteras después de la instalación y excilan los tokens API de Telegram, una vez más, demostrando la variedad de amenazas de cadena de suministro que acechan en los ecosistemas de correos abiertos.
Los hallazgos provienen de múltiples informes publicados por CheckMarx, ReversingLabs, Safety y Socket en las últimas semanas. La lista de paquetes identificados en estas plataformas se enumeran a continuación –
Socket señaló que las dos gemas maliciosas fueron publicadas por un actor de amenazas bajo los alias Bùi Nam, Buidanhnam y Si_Mobile solo días después de que Vietnam ordenara una prohibición nacional de la aplicación de mensajería de telegrama a fines del mes pasado por presuntamente no cooperar con el gobierno para abordar las actividades ilícitas relacionadas con el tráfico de drogas y el terrorismo.
«Estas gemas exfiltran en silencio todos los datos enviados a la API de telegrama redirigiendo el tráfico a través de un servidor de comando y control (C2) controlado por el actor de amenazas», dijo el investigador de Socket Kirill Boychenko. «Esto incluye tokens BOT, ID de chat, contenido de mensajes y archivos adjuntos».
La compañía de seguridad de la cadena de suministro de software dijo que las gemas son «clones casi idénticos» del complemento legítimo de Fastlane «FastLane-Plugin-Telegram», una biblioteca ampliamente utilizada para enviar notificaciones de implementación a los canales de telegrama desde las tuberías CI/CD.
El cambio malicioso introducido por el actor de amenazas modifica el punto final de la red utilizado para enviar y recibir mensajes de telegrama a un servidor codificado («Rough-Breeze-0C37.Buidanhnam95. Trabajadores (.) Dev») que actúa efectivamente como un relé entre la víctima y el Telegram API, mientras que aspiran los datos sensibles en silencio.
Dado que el malware en sí no es específico de la región y carece de lógica de geofencing para limitar su ejecución a los sistemas vietnamitas, se sospecha que los atacantes simplemente capitalizaron la prohibición de telegrama en el país para distribuir bibliotecas falsificadas bajo la apariencia de un proxy.
«Esta campaña ilustra la rapidez con que los actores de amenaza pueden explotar los eventos geopolíticos para lanzar ataques de cadena de suministro dirigidos», dijo Boychenko. «Al armarse una herramienta de desarrollo ampliamente utilizada como Fastlane y disfrazar la funcionalidad de robo de credenciales detrás de una característica oportuna de ‘proxy’, el actor de amenaza aprovechó la confianza en los ecosistemas de paquetes para infiltrarse en entornos de CI/CD».
Socket dijo que también descubrió un paquete NPM llamado «XLSX-TO-JSON-LH» que escribe en escritura la herramienta de conversión legítima «XLSX-TO-JSON-LC» y detona una carga útil maliciosa cuando un desarrollador desprevenido importa el paquete. Publicado por primera vez en febrero de 2019, desde entonces se ha eliminado.
«Este paquete contiene una carga útil oculta que establece una conexión persistente con un servidor de comando y control (C2)», dijo el investigador de seguridad Kush Pandya. «Cuando se activa, puede eliminar los directorios de proyectos completos sin previo aviso o opciones de recuperación».
Específicamente, el servidor C2 emite las acciones de destrucción una vez que el comando francés «remise à zéro» (que significa «restablecer») es emitido por el servidor C2, lo que hace que el paquete elimine los archivos del código fuente, los datos de control de versiones, los archivos de configuración, los node_modules (incluidos los sí mismo) y todos los activos del proyecto.
Otro conjunto de paquetes de NPM maliciosos: Pancake_Uniswap_Validators_Utils_Snipe, Pancakeswap-Oracle-predicción, Ethereum-Smart-Contract y Env-Process-Process-Process-Process-se han encontrado para robar en cualquier lugar entre el 80 y el 85% de los fondos presentes en la billetera de una víctima o la billetera de BSC utilizando el código de Javas de Javas de la víctima.
Los paquetes, cargados por un usuario llamado @Crypto-Exploit, han atraído más de 2,100 descargas, con «Pancake_Uniswap_Validators_utils_Snipe» publicadas hace cuatro años. Actualmente ya no están disponibles para descargar.
Los paquetes maliciosos similares con temas de criptomonedas descubiertos en PYPI han incorporado una funcionalidad encubierta para robar claves privadas de Solana, código fuente y otros datos confidenciales de sistemas comprometidos. Vale la pena señalar que si bien los «tipos semánticos» eran benignos cuando se subió por primera vez el 22 de diciembre de 2024, la carga útil maliciosa se presentó como una actualización el 26 de enero de 2025.
Una colección de paquetes PYPI está diseñada para «Monkey Patch» Métodos de generación de llaves Solana modificando funciones relevantes en tiempo de ejecución sin hacer ningún cambio en el código fuente original.
Se dice que el actor de amenaza detrás de los paquetes de Python, que usó el alias Cappers para publicarlos en el repositorio, usó archivos ReadMe pulidos y los vinculó a los repositorios de Github en un intento de prestar credibilidad y engañar a los usuarios para que los descargaran.
«Cada vez que se genera un KeyPair, el malware captura la clave privada», dijo Boychenko. «Luego cifra la clave utilizando una clave pública RSA -2048 codificada y codifica el resultado en Base64. La clave cifrada está integrada en una transacción SPL.Memo y enviada a Solana Devnet, donde el actor de amenaza puede recuperarlo y descifrarla para obtener acceso total a la billetera robada».
El segundo lote de 11 paquetes de Python para dirigirse al ecosistema Solana, según la seguridad con sede en Vancouver, se cargó a PYPI entre el 4 y el 24 de mayo de 2025. Los paquetes están diseñados para robar archivos de script de Python del sistema del desarrollador y transmitirlos a un servidor externo. También se ha encontrado que uno de los paquetes identificados, «Solana-Live», se dirige a los cuadernos de Jupyter para su exfiltración, al tiempo que afirma ser una «biblioteca de obtención de precios».
En un letrero de que el tipo de tipogrado continúa siendo un vector de ataque significativo, CheckMarx marcó seis paquetes PYPI maliciosos que se hacen pasar por Colorama, un paquete de pitón ampliamente utilizado para colorizar la producción terminal y Colorizr, una biblioteca JavaScript de conversión de color disponible en NPM.
«La táctica de usar el nombre de un ecosistema (NPM) para atacar a los usuarios de un ecosistema diferente (PYPI) es inusual», dijo la compañía. «Las cargas útiles permiten el acceso remoto persistente y el control remoto de las computadoras de escritorio y los servidores, así como la cosecha y exfiltración de datos confidenciales».
Lo notable de la campaña es que se dirige a los usuarios de los sistemas de Windows y Linux, lo que permite que el malware establezca una conexión con un servidor C2, exfiltrate las variables de entorno confilatorias y la información de configuración, y tome medidas para evadir los controles de seguridad de puntos finales.
Dicho esto, actualmente no se sabe si las cargas útiles de Linux y Windows son el trabajo del mismo atacante, lo que plantea la posibilidad de que puedan ser campañas separadas que abusan de una táctica tipográfica similar.
Los actores maliciosos también no están perdiendo el tiempo aprovechando la creciente popularidad de las herramientas de inteligencia artificial (IA) para envenenar la cadena de suministro de software con paquetes PYPI como Aliyun-Ai-Labs-Snippets-SDK, AI-Labs-Snippets-SDK y Aliyun-Ai-Labs-SDK que pretenden ser un desarrollo de software Python KIT (SDK) para interactuar con ALIYULYUY ALYYUY ALIYUY ALIYUY ALIYUY.
Los paquetes maliciosos se publicaron en PYPI el 19 de mayo de 2024, y estaban disponibles para descargar por menos de 24 horas. Sin embargo, los tres paquetes se descargaron colectivamente más de 1.700 veces antes de ser sacados del registro.
«Una vez instalado, el paquete malicioso ofrece una carga útil de Infente de InfteTealer oculta dentro de un modelo de Pytorch cargado por el script de inicialización», dijo el investigador de reversinglabs Karlo Zanki. «La carga útil maliciosa exfiltra la información básica sobre la máquina infectada y el contenido del archivo .gitconfig».
El código malicioso integrado dentro del modelo está equipado para recopilar detalles sobre el usuario registrado, la dirección de red de la máquina infectada, el nombre de la organización a la que pertenece la máquina y el contenido del archivo .gitconfig.
Curiosamente, el nombre de la organización se recupera leyendo la clave de preferencia «_UTMC_LUI_» de la configuración de la aplicación de reunión en línea de alimeeting, una aplicación de videoconferencia que es popular en China. Esto sugiere que los objetivos probables de la campaña son desarrolladores ubicados en China.
Además, el ataque sirve para resaltar la creciente amenaza planteada por el mal uso de los formatos del modelo de aprendizaje automático como Pickle, que es susceptible a la ejecución del código arbitrario durante la deserialización.
«Los actores de amenazas siempre están tratando de encontrar nuevas formas de ocultar las cargas útiles maliciosas de las herramientas de seguridad y los analistas de seguridad», dijo Zanki. «Esta vez, estaban utilizando modelos ML, un enfoque novedoso para la distribución de malware a través de la plataforma PYPI. Este es un enfoque inteligente, ya que las herramientas de seguridad solo están comenzando a implementar soporte para la detección de funcionalidad maliciosa dentro de los modelos ML».