El malware npm ataca monederos de criptomonedas y MongoDB; el código apunta a Turquía.

Sonatype descubrió «crypto-encrypt-ts», un paquete npm malicioso que suplanta la popular biblioteca CryptoJS para robar criptomonedas y datos personales. Se han reportado más de 1900 descargas hasta la fecha.

Investigadores de ciberseguridad de Sonatype descubrieron recientemente un paquete de software malicioso en el registro de npm, llamado « crypto-encrypt-ts ». Este paquete fue diseñado para aparecer como una versión actualizada de la biblioteca CryptoJS, ampliamente utilizada pero ahora sin soporte , y desde su aparición en npm, ha sido descargado más de 1928 veces .

La biblioteca original CryptoJS , a pesar de que ya no recibe mantenimiento, sigue siendo muy popular,con millones de descargas semanales. Esta popularidad, sumada al interés similar en proyectos relacionados como 'crypto-ts' , la ha convertido en blanco de ataques maliciosos.

El investigador de seguridad de Sonatype, Jeff Thornhill, analizó esta amenaza, que rastrean como sonatype-2025-001329 . Según la investigación de Sonatype, compartida con Hackread.com, este paquete engañoso «crypto-encrypt-ts» simula ser una versión TypeScript del CryptoJS original.

Sin embargo, en lugar de proporcionar funciones de cifrado, accede secretamente a monederos de criptomonedas y envía información confidencial a atacantes. Incluso copió partes de la documentación de la biblioteca real y fue subida por un usuario de npm llamado 'crypto-security-tool' , quien no tiene otros paquetes en la plataforma.

Este paquete malicioso utiliza un servicio legítimo llamado Better Stack, anteriormente conocido como Logtail, para enviar secretamente datos robados a un servidor controlado por el atacante ( s1287874.eu-nbg-2.betterstackdatacom ). Better Stack es una plataforma diseñada para recopilar y analizar registros de software con el fin de facilitar la depuración y la resolución de problemas . El paquete utiliza específicamente el paquete npm ' @logtail/node ' de Better Stack dentro del archivo ' start.js ' del software malicioso.

Investigaciones posteriores revelaron que el código malicioso, específicamente en la versión 5.4.2, busca en el equipo infectado los datos de conexión de MongoDB . De encontrarlos, intenta encontrar las direcciones de los monederos de criptomonedas, sus saldos y las variables de entorno. Curiosamente, la presencia de comentarios y mensajes en turco en el código sugiere un posible origen de este componente malicioso. Versiones posteriores, incluida la 5.4.5, atacan monederos de criptomonedas con más de 1000 valores y roban claves privadas, enviando información al servidor del atacante a través del servicio Better Stack.

El software malicioso utiliza "pm2" para crear un trabajo cron programado para aplicaciones Node.js y Bun, lo que les permite ejecutarse continuamente y reiniciarse sin interrupciones. Las versiones recientes contienen código avanzado y confuso, lo que dificulta comprender la verdadera intención del software.

Sonatype reportó el paquete dañino al registro npm y recomendó a los usuarios eliminar todas las versiones de "crypto-encrypt-ts". Sin embargo, este descubrimiento pone de manifiesto una creciente tendencia de ciberdelincuentes a usar typosquatting (creación de paquetes falsos con nombres muy similares a los legítimos) para robar criptomonedas, con la esperanza de que los usuarios descarguen por error la versión maliciosa.

Otros ejemplos recientes de esta táctica incluyen versiones falsas de " loadash " y "ESlint" . Para mantenerse protegidas, las organizaciones deberían priorizar medidas de seguridad más estrictas durante el proceso de desarrollo de software y una mayor vigilancia al usar software de terceros de registros públicos.