Los paquetes npm vinculados a Corea del Norte se hacen pasar por herramientas acumulativas de polyfill para robar secretos de los desarrolladores

TL; DR
Seis paquetes NPM maliciosos que se hacían pasar por la herramienta acumulativa Polyfill robaron credenciales de desarrollador y permitieron el acceso remoto a campañas vinculadas a Lazarus.
Los investigadores de seguridad de JFrog han identificado un conjunto de paquetes npm maliciosos vinculados a actores de amenazas norcoreanos que se hacen pasar por herramientas legítimas de polyfill para robar credenciales de desarrollador y permitir el acceso remoto a máquinas comprometidas. Los paquetes se llaman "paquete acumulativo-polyfill-core"y"rollup-runtime-polyfill-core,"suplantar válido"nodo-polyfill-del-complemento acumulativo"proyecto en su descripción, metadatos del repositorio y estructura del paquete. Los seis paquetes de la campaña se han eliminado del registro npm.
El ataque utiliza una cadena de distribución en capas diseñada para evitar la detección. Los paquetes de primera etapa instalan dependencias ocultas de segunda etapa disfrazadas de utilidades SVG, que luego obtienen un objeto JSON de un servicio de alojamiento remoto y ejecutan la carga útil incorporada en él. El marco, combinado con nombres parecidos, metadatos que parecen válidos y comprobaciones del entorno diseñadas para evitar entornos aislados y plataformas de desarrollo en la nube, es consistente con campañas anteriores de NPM vinculadas a Lazarus, dijo JFrog.
Después de ejecutar los siguientes pasos, el malware le brinda al atacante capacidades de recopilación y control en toda la máquina comprometida. La carga útil roba datos de navegadores web y billeteras de criptomonedas, captura periódicamente el contenido del portapapeles y recopila archivos que coinciden con extensiones específicas. También apunta a la configuración de herramientas de desarrollador para VS Code, Windsurf y Cursor, incluidas credenciales para AWS, Microsoft Azure, Google Gemini, Anthropic Claude y claves SSH.
Espacio de coworking de TNW City: donde ocurre tu mejor trabajo
Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.
La campaña no es un hecho aislado. En abril, los investigadores de Panther documentaron una operación sostenida de Lazarus NPM que reveló 108 paquetes maliciosos en 261 versiones de Beavertail y Ottercookie, dos conocidas familias de malware de Corea del Norte vinculadas a la campaña Infectious Interview. Los paquetes recientes comparten características con OtterCookie, incluido el uso de una biblioteca bifurcada de control de teclado y mouse que permite sesiones interactivas de terminal remota, captura de pantalla y entrada de usuario simulada en máquinas Windows comprometidas.
La divulgación va acompañada de una ola más amplia de ataques a la cadena de suministro dirigidos a repositorios de paquetes de código abierto. Checkmarks, SafeDep y el investigador de AWS, Chi Tran, identificaron por separado grupos de paquetes maliciosos en npm y PyPI que roban credenciales de la nube, billeteras de criptomonedas, claves SSH y secretos de desarrolladores. Los complementos acumulativos generalmente se cargan desde estaciones de trabajo de desarrolladores y canales de compilación de CI, entornos que han demostrado ser cada vez más vulnerables a los compromisos de la cadena de suministro y que a menudo tienen acceso a activos confidenciales, incluido el código fuente, las claves API y los secretos del proyecto.



