Campañas falsas de reclutamiento permite que Lazarus instale paquetes maliciosos en NPM y PyPI

Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes maliciosos en NPM y el repositorio Python Package Index (PyPI), vinculados a una campaña falsa de reclutamiento orquestada por el Grupo Lazarus, vinculado a Corea del Norte.

Al igual que muchas campañas de búsqueda de empleo llevadas a cabo por actores de amenazas norcoreanos, la cadena de ataque comienza con la creación de una empresa falsa como Veltrix Capital en el sector de la blockchain y el comercio de criptomonedas, y posteriormente con la creación de los recursos digitales necesarios para crear una ilusión de legitimidad.

La campaña coordinada se conoce como graphalgo en referencia al primer paquete publicado en el registro NPM. Se estima que está activa desde mayo de 2025. "Se contacta a los desarrolladores a través de plataformas sociales como LinkedIn y Facebook, o mediante ofertas de trabajo en foros como Reddit", declaró Karlo Zanki, investigador de ReversingLabs, en un informe. "La campaña incluye una historia bien orquestada sobre una empresa involucrada en blockchain y plataformas de intercambio de criptomonedas".

Cabe destacar que uno de los paquetes NPM identificados, bigmathutils, registró más de 10.000 descargas tras la publicación de la primera versión, que no contenía malware, y antes de la publicación de la segunda versión, que contenía una carga maliciosa. Los nombres de los paquetes se enumeran en el informe.

La campaña incluye el registro de un dominio y la creación de una organización de GitHub relacionada para alojar varios repositorios destinados a evaluaciones de programación. Se ha descubierto que los repositorios contienen proyectos basados ​​en Python y JavaScript.

"El análisis de estos repositorios no reveló ninguna funcionalidad maliciosa evidente", afirmó Zanki. "Esto se debe a que la funcionalidad maliciosa no se introdujo directamente a través de los repositorios de entrevistas de trabajo, sino indirectamente, a través de dependencias alojadas en los repositorios de paquetes de código abierto npm y PyPI".

La idea tras la creación de estos repositorios es engañar a los candidatos que se postulan a sus ofertas de empleo en Reddit y grupos de Facebook para que ejecuten los proyectos en sus equipos, instalando así la dependencia maliciosa y desencadenando la infección. En algunos casos, las víctimas son contactadas directamente por reclutadores aparentemente legítimos en LinkedIn.

Los paquetes actúan como conducto para implementar un troyano de acceso remoto (RAT) que obtiene y ejecuta periódicamente comandos desde un servidor externo. Admite diversos comandos para recopilar información del sistema, enumerar archivos y directorios, listar procesos en ejecución, crear carpetas, renombrar archivos, eliminar archivos y cargar/descargar archivos.

Curiosamente, la comunicación de comando y control (C2) está protegida por un mecanismo basado en tokens para garantizar que solo se acepten solicitudes con un token válido. Este enfoque se observó previamente en campañas de 2023 vinculadas a un grupo de hackers norcoreano llamado Jade Sleet, también conocido como TraderTraitor o UNC4899.

Funciona básicamente así: los paquetes envían datos del sistema como parte de un paso de registro al servidor C2, que responde con un token. Este token se devuelve al servidor C2 en solicitudes posteriores para establecer que provienen de un sistema infectado ya registrado. "El enfoque basado en tokens es similar [...] en ambos casos y, hasta donde sabemos, no ha sido utilizado por otros actores en malware alojado en repositorios públicos de paquetes", declaró Zanki.

Los hallazgos muestran que actores de amenazas patrocinados por el estado norcoreano continúan contaminando los ecosistemas de código abierto con paquetes maliciosos con la esperanza de robar datos confidenciales y realizar robos financieros, hecho que se evidencia en las comprobaciones del RAT para determinar si la extensión del navegador MetaMask está instalada en el equipo.

"La evidencia sugiere que se trata de una campaña altamente sofisticada", afirmó ReversingLabs. "Su modularidad, su larga duración, la paciencia para generar confianza en los diferentes elementos de la campaña y la complejidad del malware multicapa y cifrado apuntan a la acción de un actor de amenazas patrocinado por el estado".

Se encuentran más paquetes npm maliciosos

Esta revelación se produce después de que JFrog descubriera un sofisticado paquete NPM malicioso llamado "duer-js", publicado por el usuario "luizaearlyx". Si bien la biblioteca afirma ser una utilidad para "hacer más visible la ventana de la consola", alberga un ladrón de información de Windows llamado Bada Stealer.

Es capaz de recopilar tokens de Discord, contraseñas, cookies y datos de autocompletado de Google Chrome, Microsoft Edge, Brave, Opera y Yandex Browser, detalles de monederos de criptomonedas e información del sistema. Los datos se exfiltran posteriormente a un webhook de Discord, así como al servicio de almacenamiento de archivos Gofile como respaldo.

"Además de robar información del host infectado, el paquete malicioso descarga una carga útil secundaria", explicó el investigador de seguridad Guy Korolevski. "Esta carga útil está diseñada para ejecutarse en el inicio de la aplicación de escritorio de Discord, con capacidad de actualización automática, robando directamente de ella, incluidos los métodos de pago utilizados por el usuario".

También coincide con el descubrimiento de otra campaña de malware que utiliza NPM para extorsionar a los desarrolladores con criptomonedas durante la instalación de paquetes mediante el comando "npm install". La campaña, registrada por primera vez el 4 de febrero de 2026, ha sido bautizada como XPACK ATTACK por OpenSourceMalware.

"A diferencia del malware tradicional que roba credenciales o ejecuta shells inversos, este ataque abusa de forma innovadora del código de estado HTTP 402 'Pago requerido' para crear un muro de pago aparentemente legítimo", declaró el investigador de seguridad Paul McCarty. "El ataque bloquea la instalación hasta que las víctimas pagan 0,1 USDC/ETH al monedero del atacante, a la vez que recopila nombres de usuario de GitHub y huellas digitales del dispositivo".

"Si se niegan a pagar, la instalación simplemente falla después de perder más de 5 minutos de su tiempo de desarrollo, y es posible que ni siquiera se den cuenta de que se han topado con malware en lugar de lo que parecía ser un muro de pago legítimo para acceder a los paquetes".

Fuente: THN

Suscríbete a nuestro Boletín