Los actores de amenaza continúan cargando paquetes maliciosos en el registro de NPM para manipular las versiones locales ya instaladas de bibliotecas legítimas y ejecutar código malicioso en lo que se ve como un intento más cómodo de organizar un ataque de la cadena de suministro de software.
El paquete recién descubierto, llamado PDF-to-office, se disfraza como una utilidad para convertir archivos PDF en documentos de Microsoft Word. Pero, en realidad, alberga características para inyectar código malicioso en el software de billetera de criptomonedas asociado con la billetera atómica y el éxodo.
«Efectivamente, una víctima que intentó enviar fondos criptográficos a otra billetera criptográfica tendría la dirección de destino de la billetera prevista cambiada por uno que pertenece al actor malicioso», dijo la investigadora de reversinglabs Lucija Valentić en un informe compartido con The Hacker News.
El paquete NPM en cuestión se publicó por primera vez el 24 de marzo de 2025, y ha recibido tres actualizaciones desde entonces, pero no antes de que los autores eliminaran las versiones anteriores. La última versión, 1.1.2, se cargó el 8 de abril y permanece disponible para descargar. El paquete se ha descargado 334 veces hasta la fecha.
La divulgación se produce solo semanas después de que la firma de seguridad de la cadena de suministro de software descubrió dos paquetes NPM llamados Ethers-Provider2 y Ethers-Providerz que fueron diseñados para infectar paquetes instalados localmente y establecer un shell inverso para conectarse al servidor del actor de amenaza sobre SSH.
Lo que hace que este enfoque sea una opción atractiva para los actores de amenaza es que permite que el malware persista en los sistemas de desarrolladores incluso después de eliminar el paquete malicioso.
Un análisis de PDF a la oficina ha revelado que el código malicioso integrado dentro del paquete verifica la presencia del archivo «Atomic/Resources/App.Asar» dentro de la carpeta «AppData/Local/Programas» para determinar que se instala la billetera atómica en la computadora de Windows, y de ser así, introduzca la funcionalidad del recorte.
«Si el archivo estuviera presente, el código malicioso sobrescribiría uno de sus archivos con una nueva versión troyanizada que tenía la misma funcionalidad que el archivo legítimo, pero cambió la dirección de cifrado saliente donde los fondos se enviarían con la dirección de una billetera Web3 codificada Base64 que pertenece al actor de amenazas», dijo Valentić.
En una línea similar, la carga útil también está diseñada para troyanizar el archivo «SRC/App/UI/Index.js» asociado con la billetera Exodus.
Pero en un giro interesante, los ataques están dirigidos a dos versiones específicas cada una de las billeteras atómicas (2.91.5 y 2.90.6) y Exodus (25.13.3 y 25.9.2) para garantizar que los archivos JavaScript correctos se sobrescriban.
«Si, por casualidad, el paquete PDF a la oficina se eliminó de la computadora, el software de las billeteras Web3 permanecería comprometido y continuaría canalizando los fondos criptográficos a la billetera de los atacantes», dijo Valentić. «La única forma de eliminar por completo los archivos troyados maliciosos del software de Web3 Wallets sería eliminarlos por completo de la computadora y reinstalarlos».
La divulgación se produce cuando ExtensionTotal detallada 10 extensiones de código de estudio de Visual Malicioso que descargan sigilosamente un script PowerShell que desactiva la seguridad de Windows, establece la persistencia a través de tareas programadas e instala un XMrig Cryptominer.
Las extensiones se instalaron colectivamente más de un millón de veces antes de ser derribados. Los nombres de las extensiones están a continuación –
- Prettier – Código para VScode (por Prettier)
- Presencia rica en discordia para el código VS (por Mark H)
- ROJO – Roblox Studio Sync (por Evaera)
- Compilador de solidez (por desarrollador de VSCode)
- Claude Ai (por Mark H)
- Compilador Golang (por Mark H)
- Agente de chatgpt para VScode (por Mark H)
- HTML Ofuscator (por Mark H)
- Python Ofuscator para VScode (por Mark H)
- Compilador de óxido para VScode (por Mark H)
«Los atacantes crearon un sofisticado ataque de varias etapas, incluso instalando las extensiones legítimas que se suplicaron para evitar elevar sospechas mientras minera la criptomoneda en segundo plano», dijo ExtensionTotal.