Descubren paquetes maliciosos en npm y PyPI usados para robar claves y borrar datos

Expertos en ciberseguridad han detectado tres grupos de paquetes maliciosos en los repositorios npm y Python Package Index (PyPI). Estos paquetes cuentan con funciones que permiten sustraer información y, en algunos casos, borrar datos sensibles de los sistemas comprometidos.

A continuación se muestra la lista de paquetes identificados: 

• @async-mutex/mutex, un engaño tipográfico de sync-mute (npm).
• dexscreener, que aparenta ser una biblioteca para obtener datos de liquidez de intercambios descentralizados (DEX) e interactúa con la plataforma DEX Screener (npm).
• solana-transaction-toolkit (npm).
• solana-stable-web-huks (npm).
• cschokidar-next, un engaño tipográfico de chokidar (npm).
• achokidar-next, otro engaño tipográfico de chokidar (npm).
• achalk-next, un engaño tipográfico de chalk (npm).
• cschalk-next, otro engaño tipográfico de chalk (npm).
• cschalk, también un engaño tipográfico de chalk (npm).
• pycord-self, un engaño tipográfico de discord.py-self (PyPI).

La compañía de seguridad en la cadena de suministro, Socket, responsable de descubrir estos paquetes, explicó que los cuatro primeros se crearon para interceptar claves privadas de Solana y transmitirlas mediante los servidores SMTP de Gmail, probablemente con el propósito de vaciar las billeteras de las víctimas.

En particular, los paquetes solana-transaction-toolkit y solana-stable-web-huks agotan los fondos de manera automática, transfiriendo hasta el 98% del contenido de las billeteras hacia una dirección de Solana controlada por los atacantes, mientras afirman ofrecer funciones especializadas para Solana.

“Ya que Gmail es un servicio de correo electrónico ampliamente confiable, estos intentos de exfiltración tienen menos probabilidades de ser bloqueados por firewalls o sistemas de detección en los endpoints, pues suelen tratar a smtp.gmail.com como tráfico legítimo”.
Indicó el investigador de seguridad Kirill Boychenko.

Socket también reportó el hallazgo de dos repositorios de GitHub, publicados por los mismos actores maliciosos detrás de solana-transaction-toolkit y solana-stable-web-huks, que se presentan como herramientas de desarrollo de Solana o scripts para automatizar procesos comunes de DeFi, pero en realidad importan los paquetes maliciosos de npm creados por estos atacantes.

Las cuentas de GitHub vinculadas en esos repositorios, moonshot-wif-hwan y Diveinprogramming, ya no están disponibles.

Según Boychenko, en el repositorio moonshot-wif-hwan/pumpfun-bump-script-bot se ofrece un script que supuestamente es un bot de trading para Raydium, un destacado DEX basado en Solana. Sin embargo, dicho script en realidad introduce un código malicioso proveniente del paquete solana-stable-web-huks. 

La presencia de repositorios malintencionados en GitHub ilustra los esfuerzos de los atacantes por ampliar sus tácticas más allá de npm, buscando atraer a desarrolladores que en esa plataforma de Microsoft podrían estar interesados en herramientas relacionadas con Solana.

El segundo grupo de paquetes npm lleva su comportamiento dañino un paso más allá al incluir una función de “interruptor de apagado”, capaz de eliminar de forma recursiva todos los archivos en ciertos directorios del proyecto, además de, en algunos casos, exfiltrar variables de entorno a un servidor remoto.

El paquete suplantado csbchalk-next opera de forma muy similar a las versiones con engaño tipográfico de chokidar, pero solo inicia la supresión de datos al recibir el código 202 desde el servidor. 

En el caso de pycord-self, está dirigido a los desarrolladores de Python que quieren integrar las APIs de Discord en sus proyectos, capturando tokens de autenticación de Discord y conectándose a un servidor que el atacante controla. De este modo, se establece una puerta trasera permanente en sistemas Windows y Linux tras la instalación.

Estos hallazgos surgen justo en el momento en que ciberdelincuentes también están focalizándose en los usuarios de Roblox mediante bibliotecas falsas, diseñadas para robar información utilizando malware de código abierto como Skuld y Blank-Grabber. 

Más información:

• Hackers deploy malicious npm packages to steal Solana wallet keys via gmail SMTP https://thehackernews.com/2025/01/hackers-deploy-malicious-npm-packages.html
• Hackers weaponize npm packages to steal Solana private keys via gmail https://cybersecuritynews.com/hackers-weaponize-npm-packages/#google_vignette
• Malicious npm and PyPI target Solana private keys to steal funds from victims’ wallets https://securityaffairs.com/173249/cyber-crime/malicious-npm-and-pypi-target-solana-private-keys.html

La entrada Descubren paquetes maliciosos en npm y PyPI usados para robar claves y borrar datos se publicó primero en Una Al Día.