Los investigadores de ciberseguridad han marcado tres paquetes de NPM maliciosos que están diseñados para dirigirse a la versión Apple MacOS de Cursor, un editor de código fuente de inteligencia artificial (IA) popular.
«Disfrazado de herramientas de desarrollador que ofrece ‘la API del cursor más barata’, estos paquetes roban credenciales de los usuarios, obtienen una carga útil cifrada de la infraestructura de amenazas controlada por el actor, sobrescribe el archivo Main.JS de Cursor y desactivó los actualizaciones automáticas para mantener la persistencia», dijo el investigador de socket Kirill Boychenko.
Los paquetes en cuestión se enumeran a continuación –
Los tres paquetes continúan disponibles para descargar desde el registro NPM. «Aiide-Cur» se publicó por primera vez el 14 de febrero de 2025. Fue cargado por un usuario llamado «Aiide». La biblioteca NPM se describe como una «herramienta de línea de comandos para configurar la versión macOS del editor cursor».
Los otros dos paquetes, según la firma de seguridad de la cadena de suministro de software, fueron publicados un día antes por un actor de amenaza bajo el alias «GTR2018». En total, los tres paquetes se han descargado más de 3,200 veces hasta la fecha.
Las bibliotecas, una vez instaladas, están diseñadas para recolectar credenciales de cursor suministradas por los usuarios y obtener una carga útil de la próxima etapa de un servidor remoto («T.SW2031 (.) Com» o «API.aiide (.) XYZ»), que luego se usa para reemplazar un código específico de cursor legítimo con logica maliciosa.
«SW-Cur» también da el paso de deshabilitar el mecanismo de actualización automática del cursor y terminar todos los procesos del cursor. Los paquetes de NPM luego proceden a reiniciar la aplicación para que el código parcheado entre en vigencia, otorgando al actor de amenaza para ejecutar código arbitrario dentro del contexto de la plataforma.
Los hallazgos apuntan a una tendencia emergente en la que los actores de amenaza están utilizando paquetes Rogue NPM como una forma de introducir modificaciones maliciosas a otras bibliotecas o software legítimos ya instalados en los sistemas de desarrolladores.
Esto es significativo, no menos importante porque agrega una nueva capa de sofisticación al permitir que el malware persista incluso después de que las bibliotecas nefastas se hayan eliminado, lo que requiere que los desarrolladores realicen una instalación limpia del software alterado nuevamente.
«El compromiso basado en el parche es una adición nueva y poderosa al actor de amenaza Arsenal que dirige las cadenas de suministro de código abierto: en cambio (o además) de deslizar el malware en un administrador de paquetes, los atacantes publican un paquete NPM aparentemente inofensivo que reescribe el código ya confiable en la máquina de la víctima», dijo Socket a The Hacker News.
«Al operar dentro de un proceso principal legítimo, una biblioteca IDE o compartida, la lógica maliciosa hereda la confianza de la aplicación, mantiene la persistencia incluso después de que se elimina el paquete ofensivo y obtiene automáticamente cualquier privilegio que mantiene el software, desde tokens API y claves de firma para salir de acceso a la red».
«Esta campaña destaca una creciente amenaza de la cadena de suministro, y los actores de amenaza utilizan cada vez más parches maliciosos para comprometer el software local de confianza», dijo Boychenko.
El punto de venta aquí es que los atacantes intentan explotar el interés de los desarrolladores en la IA, así como aquellos que buscan tarifas de uso más baratas para el acceso a los modelos de IA.
«El uso del actor de amenaza del lema ‘La API de cursor más barata’ probablemente se dirige a este grupo, atrayendo a los usuarios con la promesa de acceso con descuento mientras implementa silenciosamente una puerta trasera», agregó el investigador.
Para contrarrestar tales novedosas amenazas de cadena de suministro, los defensores deben marcar paquetes que ejecutan scripts posteriores a la instalación, modifiquen archivos fuera de Node_modules o inicien llamadas de red inesperadas, y combinen esos indicadores con la fijación rigurosa de la versión, el escaneo de dependencia en tiempo real y el monitoreo de la integridad de los archivos en dependencias críticas.
La divulgación se produce cuando Socket descubrió otros dos paquetes de NPM: PumpptoolforvolumeAndComment y Debugdogs, para entregar una carga útil ofuscada que desvía las claves de criptomonedas, los archivos de billetera y los datos comerciales relacionados con una plataforma de criptioconenciones llamada Bullx On y MacOS Systems. Los datos capturados se exfiltran a un bot de telegrama.
Mientras que «PumpptoolforvolumeandComment» ha sido descargado 625 veces, «Debugdogs» ha recibido un total de 119 descargas desde que ambos fueron publicados a NPM en septiembre de 2024 por un usuario llamado «Olumideyo».
«Debugdogs simplemente invoca a PumpptoolforvolumeandComment, por lo que es una carga útil de infección secundaria conveniente», dijo el investigador de seguridad Kush Pandya. «Este patrón de ‘envoltorio’ se duplica en el ataque principal, lo que hace que sea más fácil extenderse bajo múltiples nombres sin cambiar el código malicioso central».
«Este ataque altamente dirigido puede vaciar billeteras y exponer credenciales confidenciales y datos comerciales en segundos».
Paquete NPM «Rand-User-Agent» comprometido en el ataque de la cadena de suministro
El descubrimiento también sigue un informe de Aikido sobre un ataque de la cadena de suministro que ha comprometido un paquete legítimo de NPM llamado «agente de usuarios rand» para inyectar código que oculta un troyano de acceso remoto (rata). Se ha encontrado que las versiones 2.0.83, 2.0.84 y 1.0.110 son maliciosas.
Las versiones recientemente publicadas, según el investigador de seguridad Charlie Eriksen, están diseñadas para establecer comunicaciones con un servidor externo para recibir comandos que le permitan cambiar el directorio de trabajo actual, cargar archivos y ejecutar comandos de shell. El compromiso se detectó el 5 de mayo de 2025.
Al momento de escribir, el paquete NPM se ha marcado en desuso y el repositorio de GitHub asociado ya no es accesible, redirigiendo a los usuarios a una página 404.
Actualmente no está claro cómo se violó el paquete NPM para hacer las modificaciones no autorizadas. Se recomienda a los usuarios que se han actualizado a 2.0.83, 2.0.84 o 1.0.110 que lo reduzcan a la última versión segura lanzada hace siete meses (2.0.82). Sin embargo, hacerlo no elimina el malware del sistema.
Actualizar
WebScrapingapi, que mantiene la biblioteca, le dijo a SecurityWeek que los actores de amenaza desconocidos publicaron las versiones de paquetes maliciosos después de obtener un token de automatización obsoleto que no estaba protegido por la autenticación de dos factores.