Esta semana, el equipo de investigación de Socket, una plataforma de seguridad creada para desarrolladores, publicó un reporte donde afirma que ha descubierto seis nuevos paquetes npm maliciosos vinculados a la Amenaza Persistente Avanzada (APT), Lazarus Group, también conocido como APT38, vinculado a Corea del Norte, diseñados para robar credenciales e implementar puertas traseras en sistemas.
Como se recordará, la APT Lazarus Group, está detrás del ciberataque y posterior robo de 401.347 ETH (equivalentes a casi 1.500 millones de dólares) al criptointercambio con sede en Dubai, Bybit, entre otros robos considerablemente altos en los últimos años.
De hecho, el reporte firmado por Kirill Boychenko, analista de inteligencia de amenazas en Socket Security, señala que la APT Lazarus Group de Corea del Norte, que es responsable de una gran cantidad de ciberataques y robos de alto perfil, contra varias de las más importantes plataformas de criptomonedas, “continúa infiltrándose en el ecosistema npm”.
Para los que desconozcan que es npm, se trata del sistema de gestión de paquetes por defecto para Node.js, un entorno de ejecución para JavaScript multiplataforma, de código abierto, para la capa del servidor basado en el lenguaje de programación JavaScript y que es muy utilizado en entornos de desarrollo de plataformas de criptomonedas por su sencillez y versatilidad.
De acuerdo con el equipo de investigación de la plataforma Socket, los ciberdelincuentes de la APT Lazarus Group, han “implementado seis nuevos paquetes maliciosos diseñados para comprometer entornos de desarrolladores, robar credenciales, extraer datos de criptomonedas e implementar una puerta trasera”.
“En esta campaña, los investigadores de Socket descubrieron malware BeaverTail incrustado en paquetes aparentemente inofensivos (is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependencyy auth-validator), cada uno de los cuales replica estrechamente las tácticas documentadas previamente en las operaciones de Lazarus (Contagious Interview)”.
Tan sólo el paquete legítimo “is-buffer”, creado por Feross Aboukhadijeh, fundador de la misma plataforma Socket en 2021, que ha sido mantenido durante más de una década, “tiene 33 millones de descargas semanales y ha sido descargado más de 134 millones de veces en total, lo que destaca su adopción generalizada” y el por qué la APT Lazarus Group, lo escogió para crear un clon envenenado con malware.
Tanto el tipo de malware y la forma en que se realizó esta infección, coincide con el informe de enero de 2025 del mismo equipo de investigación de la plataforma Socket, sobre las continuas vulneraciones de la cadena de suministro de paquetes de desarrollo npm, llevado a cabo por la APT Lazarus Group.
En concreto, estos seis nuevos paquetes infectados con malware, que imitan fielmente los nombres de bibliotecas de amplia confianza, empleando una conocida táctica de typosquatting utilizada por actores de amenazas vinculados a la APT Lazarus Group “para engañar a los desarrolladores”. Estas bibliotecas “han sido descargadas en conjunto más de 330 veces”.
Básicamente, la táctica de typosquatting que ya es considerada un delito informático, consiste en registrar un dominio similar al de un sitio web conocido, pero con un error ortográfico, lo cual también aplica para los repositorios de librerías de desarrollo en GitHub, GitLab, SourceForge, etc., que son identificados con nombres muy parecidos para hacerlos pasar por los verdaderos.
“Además, el grupo APT creó y mantuvo repositorios de GitHub para cinco de los paquetes maliciosos, lo que les da una apariencia de legitimidad de código abierto y aumenta la probabilidad de que el código dañino se integre en los flujos de trabajo de los desarrolladores”, dice el informe.
Según, el reporte del equipo de investigación de la plataforma Socket, estos paquetes envenenados, se encontraban activos aún en el registro de npm, por lo que habían “solicitado su eliminación e informado sobre los repositorios de GitHub y las cuentas de usuario asociadas”.
En los análisis del malware encontrado en esta campaña vinculada a la APT Lazarus Group, los investigadores afirman que se “podría extraer datos de criptomonedas, robando información sensible de carteras de criptomonedas Solana y Exodus”.
Y quizás lo más peligroso de todo, es que el reporte de Socket, afirma que “el ataque funciona dirigiéndose a archivos en los navegadores Google Chrome, Brave y Firefox, así como a datos de keychain en macOS, específicamente apuntando a desarrolladores que podrían instalar los paquetes sin saberlo”, lo que pudiera terminar dándoles acceso a cualquier futuro proyecto de activos digitales o de otro tipo que esté siendo desarrollado en el mundo.
Aunque desde el principio se apunta a la APT Lazarus Group, vinculada a Corea del Norte, Boychenko, señala que “atribuir este ataque definitivamente a Lazarus o a una copia sofisticada sigue siendo un desafío, ya que la atribución absoluta es inherentemente difícil”.
“Sin embargo, las tácticas, técnicas y procedimientos (TTP) observados en este ataque npm coinciden estrechamente con las operaciones conocidas de Lazarus, ampliamente documentadas por investigadores de Unit42, eSentire, DataDog, Phylum y otros desde 2022”.
En un análisis técnico realizado a uno de los paquetes del reporte, se observa que “el código está diseñado para recopilar información del entorno del sistema, incluyendo el nombre de host, el sistema operativo y los directorios del sistema”.
Pero además, el paquete envenenado “itera sistemáticamente a través de los perfiles del navegador para localizar y extraer archivos confidenciales, como Login Datalos de Chrome, Brave y Firefox, así como archivos de llavero en macOS. Cabe destacar que el malware también ataca las billeteras de criptomonedas, específicamente las id.jsonde Solana y exodus.walletExodus”, dice el reporte.
“Los datos robados se exfiltran posteriormente a un servidor C2 codificado en [nombre del servidor] hxxp://172.86.84[.]38:1224/uploads, siguiendo la estrategia bien documentada de Lazarus de recopilar y transmitir información comprometida”, señala el análisis.
Esto quiere decir que las billeteras de criptomonedas en el ordenador infectado, podrían ser vaciadas en cualquier momento por los ciberdelincuentes de la APT Lazarus Group, sin que el usuario tenga idea de cómo ocurrió.
El reporte es claro al afirmar que dicho grupo vinculado al gobierno norcoreano “prioriza constantemente la persistencia y el sigilo”, pero sin duda, la meta de estos paquetes envenenados “va más allá del robo de credenciales, buscando integrarse en los flujos de trabajo de desarrollo y garantizar la continuidad de la vulnerabilidad, incluso si se detecta y elimina una etapa”.
“Al crear o reutilizar repositorios de GitHub para los paquetes maliciosos, el actor de amenazas oculta aún más sus actividades, haciendo que la operación parezca parte de un desarrollo legítimo de código abierto”, lo que en consecuencia podría tratarse de una futura campaña de ciberataques a nuevos criptointercambios, donde nuevamente se vulneren decenas de millones de dólares en activos digitales.