Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes maliciosos en npm y el repositorio Python Package Index (PyPI) vinculados a una campaña falsa con temática de reclutamiento orquestada por el Grupo Lazarus, vinculado a Corea del Norte.
La campaña coordinada recibió el nombre en código de graphalgo en referencia al primer paquete publicado en el registro npm. Se estima que está activo desde mayo de 2025.
«Se contacta a los desarrolladores a través de plataformas sociales como LinkedIn y Facebook, o a través de ofertas de trabajo en foros como Reddit», dijo en un informe el investigador de ReversingLabs, Karlo Zanki. «La campaña incluye una historia bien orquestada sobre una empresa involucrada en blockchain y intercambios de criptomonedas».
En particular, uno de los paquetes npm identificados, bigmathutils, atrajo más de 10.000 descargas después de que se publicara la primera versión no maliciosa y antes de que se publicara la segunda versión que contenía una carga útil maliciosa. Los nombres de los paquetes se enumeran a continuación:
npm –
- grafico
- grafito
- estructura gráfica
- graflibcore
- estructura de red
- grafonetworkx
- terminalcolor256
- graficokitx
- cadena gráfica
- flujo de grafos
- grafórbita
- grafnet
- grafhub
- color de terminal
- grafito
- bignumx
- grannúmerox
- bignumex
- bigmatex
- bigmathlib
- bigmathutils
- enlace gráfico
- bigmatix
- flujo de grafos
PyPI –
- grafico
- grafex
- graflibx
- gráficodict
- flujo de grafos
- nodo gráfico
- sincronización gráfica
- gran pyx
- bignum
- bigmatex
- bigmatix
- bigmathutils
Como ocurre con muchas campañas centradas en el empleo realizadas por actores de amenazas norcoreanos, la cadena de ataque comienza con el establecimiento de una empresa falsa como Veltrix Capital en el espacio de comercio de criptomonedas y blockchain, y luego establece el espacio digital necesario para crear una ilusión de legitimidad.
Esto incluye registrar un dominio y crear una organización GitHub relacionada para alojar varios repositorios para su uso en evaluaciones de codificación. Se ha descubierto que los repositorios contienen proyectos basados en Python y JavaScript.
«El examen de estos repositorios no reveló ninguna funcionalidad maliciosa obvia», dijo Zanki. «Esto se debe a que la funcionalidad maliciosa no se introdujo directamente a través de los repositorios de entrevistas de trabajo, sino indirectamente, a través de dependencias alojadas en los repositorios de paquetes de código abierto npm y PyPI».
La idea detrás de la configuración de estos repositorios es engañar a los candidatos que se postulan para sus ofertas de trabajo en Reddit y Grupos de Facebook para que ejecuten los proyectos en sus máquinas, instalando efectivamente la dependencia maliciosa y desencadenando la infección. En algunos casos, las víctimas son contactadas directamente por reclutadores aparentemente legítimos en LinkedIn.
En última instancia, los paquetes actúan como un conducto para implementar un troyano de acceso remoto (RAT) que periódicamente recupera y ejecuta comandos desde un servidor externo. Admite varios comandos para recopilar información del sistema, enumerar archivos y directorios, enumerar procesos en ejecución, crear carpetas, cambiar el nombre de archivos, eliminar archivos y cargar/descargar archivos.
Curiosamente, la comunicación de comando y control (C2) está protegida por un mecanismo basado en token para garantizar que solo se acepten solicitudes con un token válido. El enfoque se observó anteriormente en campañas de 2023 vinculadas a un grupo de piratería norcoreano llamado Jade Sleet, también conocido como TraderTraitor o UNC4899.
Básicamente, funciona así: los paquetes envían datos del sistema como parte de un paso de registro al servidor C2, que responde con un token. Luego, este token se envía de vuelta al servidor C2 en solicitudes posteriores para establecer que se originan en un sistema infectado ya registrado.
«El enfoque basado en tokens es similar (…) en ambos casos y, hasta donde sabemos, no ha sido utilizado por otros actores en malware alojado en repositorios de paquetes públicos», dijo Zanki a The Hacker News en ese momento.
Los hallazgos muestran que los actores de amenazas patrocinados por el estado de Corea del Norte continúan envenenando los ecosistemas de código abierto con paquetes maliciosos con la esperanza de robar datos confidenciales y realizar robos financieros, un hecho evidenciado por las comprobaciones del RAT para determinar si la extensión del navegador MetaMask está instalada en la máquina.
«La evidencia sugiere que se trata de una campaña muy sofisticada», dijo ReversingLabs. «Su modularidad, su naturaleza duradera, su paciencia para generar confianza entre los diferentes elementos de la campaña y la complejidad del malware cifrado y de múltiples capas apuntan al trabajo de un actor de amenazas patrocinado por el estado».
Se encontraron más paquetes npm maliciosos
La divulgación se produce cuando JFrog descubrió un paquete npm sofisticado y malicioso llamado «duer-js» publicado por un usuario llamado «luizaearlyx». Si bien la biblioteca afirma ser una utilidad para «hacer más visible la ventana de la consola», alberga un ladrón de información de Windows llamado Bada Stealer.
Es capaz de recopilar tokens de Discord, contraseñas, cookies y datos de autocompletar de Google Chrome, Microsoft Edge, Brave, Opera y Yandex Browser, detalles de billeteras de criptomonedas e información del sistema. Luego, los datos se extraen a un webhook de Discord, así como al servicio de almacenamiento de archivos Gofile como copia de seguridad.
«Además de robar información del host que infectó, el paquete malicioso descarga una carga secundaria», dijo el investigador de seguridad Guy Korolevski. «Esta carga útil está diseñada para ejecutarse al iniciar la aplicación Discord Desktop, con capacidades de actualización automática, robando directamente de ella, incluidos los métodos de pago utilizados por el usuario».
También coincide con el descubrimiento de otra campaña de malware que utiliza npm como arma para extorsionar a los desarrolladores mediante pagos en criptomonedas durante la instalación del paquete utilizando el comando «npm install». La campaña, registrada por primera vez el 4 de febrero de 2026, OpenSourceMalware la denominó XPACK ATTACK.
 |
| flujo de paquete malicioso duer-js, secuestrando el entorno Electron de Discord |
Los nombres de los paquetes, todos subidos por un usuario llamado «dev.chandra_bose», se enumeran a continuación:
- xpack-por-usuario
- xpack-por-dispositivo
- xpack-sui
- suscripción-xpack
- puerta de enlace xpack-arc
- xpack-video-envío
- estilo-npm de prueba
- prueba-de-suscripción-xpack
- paquete-de-prueba-xdsfdsfsc
«A diferencia del malware tradicional que roba credenciales o ejecuta shells inversos, este ataque abusa de manera innovadora del código de estado HTTP 402 ‘Pago requerido’ para crear un muro de pago aparentemente legítimo», dijo el investigador de seguridad Paul McCarty. «El ataque bloquea la instalación hasta que las víctimas pagan 0,1 USDC/ETH en la billetera del atacante, mientras recopila nombres de usuario de GitHub y huellas digitales del dispositivo».
«Si se niegan a pagar, la instalación simplemente falla después de perder más de 5 minutos de su tiempo de desarrollo, y es posible que ni siquiera se den cuenta de que han encontrado malware frente a lo que parecía ser un muro de pago legítimo para acceder a los paquetes».