Los investigadores de ciberseguridad han descubierto código malicioso en un paquete npm después de un paquete malicioso como una dependencia del proyecto del modelo de lenguaje grande (LLM) Claude Opus de Anthropic.
El paquete en cuestión es «@validate-sdk/v2», que figura en npm como un kit de desarrollo de software (SDK) de utilidad para hash, validación, codificación/decodificación y generación aleatoria segura. Sin embargo, su verdadera funcionalidad es saquear secretos confidenciales del entorno comprometido. El paquete, que muestra signos de estar codificado por vibración mediante inteligencia artificial (IA) generativa, se subió por primera vez al repositorio en octubre de 2025.
La campaña de malware ha recibido el nombre en clave rápidoVisón por ReversingLabs, que vinculó la actividad como parte de una campaña más amplia montada por el actor de amenazas norcoreano conocido como Chollima famosa (también conocido como Shifty Corsair), que está detrás de la campaña de entrevistas contagiosas de larga duración y la estafa fraudulenta de trabajadores de TI.
«La nueva campaña de malware (…) involucra un paquete contaminado que se introdujo en un compromiso del 28 de febrero con un agente comercial autónomo», dijo el investigador de ReversingLabs Vladimir Pezo en un informe compartido con The Hacker News. «La confirmación fue coautora del modelo de lenguaje grande (LLM) Claude Opus de Anthropic. Permite a los atacantes acceder a las billeteras y fondos criptográficos de los usuarios».
El paquete figura como una dependencia de otro paquete npm llamado «@solana-launchpad/sdk», que, a su vez, es utilizado por un tercer paquete llamado «openpaw-graveyard», que se describe como un «agente de IA autónomo» que crea una identidad social en cadena en la cadena de bloques de Solana utilizando el protocolo Tapestry, intercambia criptomonedas a través de Bankr e interactúa con otros agentes en Moltbook.
ReversingLabs dijo que los paquetes generados por el agente de IA se agregaron como una dependencia en una confirmación realizada en febrero de 2026, lo que provocó que el paquete del agente ejecutara código malicioso y brindara a los atacantes acceso a través de credenciales filtradas a las billeteras y fondos de criptomonedas de la víctima.
El ataque adopta un enfoque por fases, donde los paquetes de la primera capa no contienen ningún código malicioso, sino que importan paquetes de la segunda capa que en realidad incorporan la funcionalidad nefasta. Si el segundo grupo se detecta o elimina de npm, se reemplaza rápidamente.
Algunos de los paquetes de primera capa identificados se enumeran a continuación:
- @solana-launchpad/sdk
- @meme-sdk/comercio
- @ validar-ethereum-address/core
- @solmasterv3/solana-metadatos-sdk
- @pumpfun-ipfs/sdk
- @solana-ipfs/sdk
«Implementan algunas funciones relacionadas con las criptomonedas», explicó ReversingLabs. «Y cada paquete enumera muchas dependencias, la mayoría de las cuales son paquetes npm populares con recuentos de descargas de millones y miles de millones, como axios, bn.js, etc. Sin embargo, una pequeña cantidad de dependencias son paquetes maliciosos de la segunda capa».
Los actores de amenazas emplean varias técnicas para ayudar a que los paquetes maliciosos escapen a la detección. Estas incluyen la creación de una versión maliciosa de las funciones ya presentes en los paquetes populares enumerados. Otra técnica utiliza typosquatting, donde los nombres y descripciones imitan bibliotecas legítimas.
La primera versión del paquete publicada en npm como parte de esta campaña se remonta a septiembre de 2025, cuando se cargó «@hash-validator/v2» en el registro. La decisión de dividir al ladrón de criptomonedas en dos partes (un cebo benigno que descarga el malware real) puede haberlo ayudado a evadir la detección y ayudar a ocultar la verdadera escala del ataque.
Vale la pena señalar que algunos aspectos de la actividad fueron documentados por JFrog dos meses después, destacando el uso de dependencias transitivas por parte del actor de amenazas para ejecutar código malicioso en los sistemas de los desarrolladores y desviar datos valiosos.
En los meses intermedios, la campaña ha experimentado varias transformaciones, incluso apuntando al índice de paquetes Python (PyPI) al impulsar un paquete malicioso («scraper-npm») con la misma funcionalidad en febrero de 2026. Tan recientemente como el mes pasado, se observó que los actores de amenazas establecían un acceso remoto persistente a través de SSH y utilizaban cargas útiles compiladas por Rust para exfiltrar proyectos completos que contienen código fuente y otra propiedad intelectual de los sistemas comprometidos.
Las primeras versiones del malware eran ladrones ofuscados basados en JavaScript que escaneaban el directorio de trabajo actual de forma recursiva en busca de archivos .env o .json y los preparaban para su filtración a una URL de Vercel («ipfs-url-validator.vercel.app»), una plataforma de la que Famous Chollima abusaba repetidamente en sus campañas.
Si bien las iteraciones posteriores se integraron con PromptMink en forma de una aplicación ejecutable única (SEA) de Node.js, también sufrió una desventaja notable, ya que provocó que el tamaño de la carga útil creciera de apenas 5,1 KB a alrededor de 85 MB. Se dice que esto provocó que los actores de amenazas pasaran a utilizar NAPI-RS para crear complementos de Node.js precompilados en Rust.
La evolución del malware desde un simple ladrón de información hasta un recolector multiplataforma especializado dirigido a Windows, Linux y macOS capaz de eliminar puertas traseras SSH y recopilar proyectos completos demuestra que los actores de amenazas norcoreanos siguen apuntando al ecosistema de código abierto para apuntar a los desarrolladores en el espacio Web3.
Famous Chollima está «aprovechando el código generado por IA y una estrategia de paquete en capas para evadir la detección y engañar de manera más efectiva a los asistentes de codificación automatizados que a los desarrolladores humanos», agregó ReversingLabs.
Surge un comerciante contagioso
Los hallazgos coinciden con el descubrimiento de un paquete npm malicioso llamado «express-session-js» que se cree que está vinculado a la campaña Contagious Interview, con la biblioteca actuando como un conducto para un gotero que recupera una carga útil ofuscada de segunda etapa de JSON Keeper, un servicio de pegado.
«La deofuscación estática de la carga útil de la etapa 2 revela un troyano de acceso remoto (RAT) completo y un ladrón de información que se conecta a 216(.)126(.)237(.)71 a través de Socket.IO, con capacidades que incluyen robo de credenciales del navegador, extracción de billetera criptográfica, captura de pantalla, monitoreo del portapapeles, registro de teclas y control remoto de mouse/teclado», señaló SafeDep este mes.
Curiosamente, el uso de paquetes legítimos como «socket.io-client» para comunicación de comando y control (C2), «screenshot-desktop» para captura de pantalla, «sharp» para compresión de imágenes y «clipboardy» para acceso al portapapeles se superpone con el de OtterCookie, un conocido malware ladrón atribuido a la campaña.
Lo novedoso esta vez es la adición del paquete «@nut-tree-fork/nut-js» para el control del mouse y el teclado, lo que sugiere intentos más amplios de actualizar las capacidades de RAT para facilitar el control interactivo de los hosts infectados.
 |
| Cadena de implementación de OtterCookie |
OtterCookie, por su parte, ha sido testigo de su propia maduración, distribuyéndose a través de un proyecto de ajedrez 3D de código abierto troyanizado alojado en Bitbucket y paquetes npm maliciosos como «gemini-ai-checker», «express-flowlimit» y «chai-extensions-extras».
Un tercer método ha empleado un enfoque de muñeca Matryoshka como parte de una campaña denominada Contagious Trader. El ataque comienza con la descarga de un paquete contenedor benigno (por ejemplo, «bjs-biginteger»), que luego procede a descargar una dependencia maliciosa (por ejemplo, «bjs-lint-builder») y finalmente instala el ladrón.
 |
| Superposiciones entre entrevista contagiosa, comerciante contagioso y graphalgo |
«Las recientes campañas orquestadas por Shifty Corsair demuestran la creciente amenaza de las operaciones cibernéticas alineadas por el Estado de la RPDC», dijo el investigador de BlueVoyant, Curt Buchanan. «Su rápida evolución, desde la codificación estática Obfuscator.io hasta la ofuscación personalizada con rotación dinámica, y su abuso de la infraestructura C2 alojada en Vercel, demuestra una maduración en sus capacidades operativas».
Graphalgo utiliza empresas falsas para eliminar RAT
El avance es significativo ya que el actor de la amenaza ha sido vinculado simultáneamente a otra campaña en curso denominada grafico que atrae a los desarrolladores que utilizan empresas falsas y aprovecha entrevistas de trabajo y pruebas de codificación falsas para entregar paquetes npm maliciosos a sus sistemas.
La campaña se desarrolla así: los piratas informáticos emplean tácticas de ingeniería social en plataformas de búsqueda de empleo y redes sociales para engañar a posibles objetivos para que descarguen proyectos alojados en GitHub como parte de una evaluación. Estos proyectos, a su vez, contienen una dependencia de un paquete malicioso publicado en npm o PyPI, cuyo objetivo principal es implementar un troyano de acceso remoto (RAT) en la máquina.
Para llevar a cabo el ataque, los operadores crearon una red de empresas falsas, con perfiles convincentes en plataformas como GitHub, LinkedIn y X para darles una apariencia de legitimidad y hacer que el engaño sea más convincente. En el caso de Blocmerce, los atacantes incluso llegaron al extremo de registrar una sociedad de responsabilidad limitada (LLC) en el estado estadounidense de Florida con el mismo nombre en agosto de 2025. Los nombres de algunas de las empresas utilizadas para el phishing frontal son los siguientes:
- Capital Veltrix
- Blockmerce
- Finanzas Bridgers
«Estas organizaciones están vinculadas a varias organizaciones de GitHub relacionadas con empresas de blockchain que han estado activas en GitHub desde junio de 2025», dijo el investigador de seguridad de ReversingLabs, Karlo Zanki. «Su propósito es brindar confiabilidad a ofertas de trabajo falsas y albergar tareas de entrevistas de trabajo falsas».
También se han detectado versiones recientes de la campaña que utilizan una técnica diferente para alojar dependencias maliciosas. En lugar de publicarlos en npm o PyPI, se alojan como un artefacto de lanzamiento en repositorios de GitHub, probablemente en un esfuerzo por minimizar el riesgo de detección.
«La referencia a la dependencia maliciosa está enterrada en lo más profundo de la lista de dependencias transitivas. El campo resuelto en el archivo package-lock.json indica al administrador de paquetes dónde obtener dependencias de paquetes específicas», señaló ReversingLabs. «Mientras que todas las demás dependencias se obtienen del registro oficial de npm, la maliciosa se obtiene directamente de un artefacto de lanzamiento ubicado en un repositorio GitHub diseñado».
La lista de paquetes npm se encuentra a continuación:
- gráfico dinámico
- Graphbase-js
- Graphlib-js
El ataque culmina con la implementación de una RAT que puede recopilar información del sistema, enumerar archivos y directorios, enumerar procesos en ejecución, crear carpetas, cambiar el nombre de archivos, eliminar archivos y cargar/descargar archivos.
En las últimas semanas, un grupo de amenazas patrocinado por el Estado norcoreano rastreado como UNC1069 también ha sido vinculado con el compromiso de «axios», uno de los paquetes npm más populares, destacando la continua amenaza que enfrentan los repositorios de código abierto de Pyongyang.
Desde entonces, los atacantes detrás de la infracción han publicado un nuevo paquete npm llamado «csec-crypto-utils» que contiene una «carga útil actualizada» que sustituye el cuentagotas RAT por un ladrón de datos que exfolia las claves de AWS, los tokens de GitHub y los archivos de configuración .npmrc a un servidor externo («csec-c2-server.onrender(.)com»).
En su informe que detalla el compromiso de la cadena de suministro, Hunt.io vinculó el ataque a un subgrupo del Grupo Lazarus conocido como BlueNoroff, citando superposiciones de infraestructura y las similitudes de RAT con NukeSped.
«El uso de técnicas y tácticas avanzadas por parte de los actores de amenazas, así como un nivel sorprendente de preparación de campaña (creación de una LLC en Florida) y su capacidad de adaptación, hace que los actores de amenazas norcoreanos sean una amenaza importante para las organizaciones o desarrolladores individuales centrados en las criptomonedas», dijo ReversingLabs.