Hackers Norcoreanos de Lazarus infectan a Cientos mediante Paquetes NPM

Noticias Hacking y Seguridad Informática / Malware / 22 de octubre de 2025 / Por

Se han identificado seis paquetes maliciosos en npm (Node Package Manager) vinculados al notorio grupo de hackers norcoreano Lazarus.

Los paquetes que han sido descargados 330 veces, están diseñados para robar credenciales de cuentas, desplegar puertas traseras en los sistemas comprometidos y extraer información sensible sobre criptomonedas.

Detalles de la campaña

  • El Socket Research Team descubrió la campaña y la vinculó con operaciones anteriores de la cadena de suministro de Lazarus.
  • El grupo de amenazas es conocido por insertar paquetes maliciosos en registros de software como npm, que es utilizado por millones de desarrolladores de JavaScript y comprometer los sistemas de forma pasiva.
  • Campañas similares atribuibles a los mismos actores de amenaza han sido detectadas en GitHub y en el Python Package Index (PyPI).

Esta táctica les permite ganar acceso inicial a redes valiosas. En algunos casos, Lazarus usa este acceso para llevar a cabo ataques masivos récord, como el reciente robo de criptomonedas de 1.5 mil millones de dólares en el intercambio Bybit, aunque esa brecha no se logró mediante la instalación de paquetes maliciosos.

Paquetes Lazarus descubiertos

Los seis paquetes de Lazarus descubiertos en npm emplean tácticas de typosquatting para engañar a los desarrolladores e instalar los paquetes por accidente:

  1. is-buffer-validator – Paquete malicioso que imita la popular biblioteca is-buffer para robar credenciales.
  2. yoojae-validator – Falsa biblioteca de validación utilizada para extraer datos sensibles de los sistemas infectados.
  3. event-handle-package – Disfrazado como una herramienta de manejo de eventos, pero que despliega una puerta trasera para acceso remoto.
  4. array-empty-validator – Paquete fraudulento diseñado para recolectar credenciales del sistema y navegador.
  5. react-event-dependency – Se presenta como una utilidad para React, pero ejecuta malware para comprometer entornos de desarrollo.
  6. auth-validator – Imitación de herramientas de validación de autenticación para robar credenciales de inicio de sesión y claves API.

Impacto de los paquetes maliciosos ⚠️

Los paquetes contienen código malicioso diseñado para robar información sensible, como:

  • Carteras de criptomonedas.
  • Datos de navegador que contienen contraseñas guardadas, cookies e historial de navegación.

También cargan el malware BeaverTail y la puerta trasera InvisibleFerret, que los norcoreanos habían desplegado previamente en ofertas de trabajo falsas que llevaron a la instalación de malware.

¿Cómo funciona el malware? ️‍♂️

El código malicioso está diseñado para recolectar detalles sobre el sistema, incluyendo:

  • El nombre de host, el sistema operativo y los directorios del sistema.
  • Itera sistemáticamente a través de los perfiles de navegador para localizar y extraer archivos sensibles, como Login Data de Chrome, Brave y Firefox, así como archivos de llaves en macOS.

El malware también está dirigido a carteras de criptomonedas, extrayendo archivos como id.json de Solana y exodus.wallet de Exodus.

Paquetes activos en npm y GitHub ️

Los seis paquetes de Lazarus todavía están disponibles en npm y en repositorios de GitHub, por lo que la amenaza sigue activa.

Recomendaciones de seguridad para desarrolladores

Se recomienda a los desarrolladores de software que revisen cuidadosamente los paquetes que usan en sus proyectos y que examinen constantemente el código en el software de código abierto para detectar señales sospechosas, como:

  • Código ofuscado.
  • Llamadas a servidores externos.

🔥 LO MÁS VISTO DE ESTA CATEGORÍA