Los investigadores de seguridad cibernética han descubierto un paquete malicioso llamado «OS-Info-Checker-ES6» que se disfraza de una utilidad de información del sistema operativo para eliminar sigilosamente una carga útil de la próxima etapa en sistemas comprometidos.
«Esta campaña emplea una inteligente esteganografía basada en Unicode para ocultar su código malicioso inicial y utiliza un enlace corto del evento calendario de Google como un gotero dinámico para su carga útil final», dijo Veracode en un informe compartido con Hacker News.
«OS-Info-Checker-ES6» fue publicado por primera vez en el Registro de NPM el 19 de marzo de 2025 por un usuario llamado «Kim9123». Se ha descargado 2.001 veces a partir de la escritura. El mismo usuario también ha cargado otro paquete NPM llamado «Skip-Tot» que enumera «OS-Info-Checker-ES6» como una dependencia. El paquete se ha descargado 94 veces.
Si bien las cinco versiones iniciales no exhibieron signos de exfiltración de datos o comportamiento malicioso, se ha encontrado que una iteración posterior cargada el 7 de mayo de 2025 incluye el código ofuscado en el archivo «preinstall.js» para analizar unicodeando los caracteres de «acceso de uso privado» y extraer una carga útil de la próxima etapa.
El código malicioso, por su parte, está diseñado para contactar un enlace corto al evento del calendario de Google («Calendar.app (.) Google/
Sin embargo, no se distribuyen cargas útiles adicionales en este momento. Esto indica que la campaña sigue siendo un trabajo en progreso o actualmente inactivo. Otra posibilidad es que ya haya concluido, o que el servidor de comando y control (C2) está diseñado para responder solo a máquinas específicas que cumplan ciertos criterios.
«Este uso de un servicio legítimo y ampliamente confiable como Google Calendar como intermediario para alojar el siguiente enlace C2 es una táctica inteligente para evadir la detección y hacer que el bloqueo de las etapas iniciales del ataque sea más difícil», dijo Veracode.
La compañía de seguridad de la aplicación y Aikido, que también detallaron la actividad, señalaron además que otros tres paquetes han enumerado «OS-Info-Checker-ES6» como dependencia, aunque se sospecha que los paquetes dependientes son parte de la misma campaña,
- Vista de dev-trerverr
- Municipio
- Visión
«El paquete OS-Info-Checker-ES6 representa una amenaza sofisticada y en evolución dentro del ecosistema NPM», dijo Veracode. «El atacante demostró una progresión de pruebas aparentes a desplegar un malware de varias etapas».
La divulgación se produce cuando la compañía de seguridad de la cadena de suministro de software se destacó a los escritos tipoquatting, el abuso de almacenamiento en caché del repositorio de GO, la ofuscación, la ejecución de varias etapas, el descremado y el abuso de servicios legítimos y herramientas de desarrolladores como las seis técnicas adversas principales adoptadas por los actores de amenazas en el primer semestre de 2025.
«Para contrarrestar esto, los defensores deben centrarse en señales de comportamiento, como scripts inesperados posteriores a la instalación, sobrescrituras de archivos y tráfico de salida no autorizado, al tiempo que validan los paquetes de terceros antes de su uso», dijeron los investigadores de seguridad Kirill Boychenko y Philipp Burckhardt.
«El análisis estático y dinámico, la fijación de la versión y la inspección cercana de los registros de CI/CD son esenciales para detectar dependencias maliciosas antes de alcanzar la producción».