Los mensajes falsos de instalación de npm ocultan el malware RAT en una nueva campaña de cadena de…

Una nueva campaña de cadena de suministro de software cuidadosamente diseñada se dirige a los desarrolladores a través del registro de paquetes npm, utilizando mensajes de instalación falsos para ocultar actividad maliciosa. La campaña, que los investigadores de seguridad denominaron “campaña fantasma”, comenzó a principios de febrero de 2026 y se basa en un conjunto de paquetes npm creados para engañar a los desarrolladores para que entreguen las credenciales de su sistema mientras implementan en secreto un troyano de acceso remoto (RAT) en sus máquinas.

En lugar de generar sospechas, el paquete genera lo que parece una instalación npm normal: imprime mensajes de registro, muestra una barra de progreso e inserta retrasos aleatorios para que el proceso parezca realista. Los investigadores observaron que el uso de registros de instalación falsos para enmascarar comportamientos maliciosos era una técnica novedosa, que representaba un cambio claro en la forma en que los actores de amenazas trabajan para pasar desapercibidos dentro de los ecosistemas de código abierto. El alcance de esta campaña se extiende más allá de los siete paquetes identificados inicialmente. Mecanismo de infección: registros falsos y sudo phishing El elemento más engañoso de esta campaña es cómo los paquetes engañan a los desarrolladores para que revelen su contraseña de sudo.

Durante la instalación falsa, el paquete genera un error que indica que no puede instalar ciertas dependencias debido a que faltan permisos de escritura en /usr/local/lib/node_modules —el directorio de paquetes global estándar en sistemas Linux y macOS. IoC: – Paquete NombreVersiónSHA1react-rendimiento-suite2.0.0bdffc2f98ff422db9f9ddc190401cfcb686e3c32react-per formalce-suite2.0.15928e3121f12f3c5d690bc7968b28b2f67835ef5react-state-optimizer-core1.0.0cbe 7c87293de7ab5853e2aef3f638d54c45f5c9freact-state-optimizer-core3.0.3fe6ee1104c4b02be39819822 ed959039ea313e67react-fast-utilsa2.0.1e6cfaef4b50d2a4ddd8453bf5a91e81a092d6e09ai-fast-auto-tr ader2.2.1963b79f59fb2c070a06b9a2af9db2b5512c1ed74ai-fast-auto-trader2.2.6d22eb34facf13b5c1e8 20d9e6358eb4cd3797eaapkgnewfefame13.2.12a8c625660ad6bb7d7c953a147c84c0fcc75794bcarbon-mac-cop y-cloner1.1.063783f6e59d20e2c664123b349f22dd53d1293d4coinbase-desktop-sdk1.5.14cb9208d756dc4 d4674801611d8d5f5ba79e76366coinbase-desktop-sdk1.5.19d5ade32ac52140e6c25f50780dc4ff4d466faddb La publicación Los mensajes falsos de instalación de npm ocultan el malware RAT en una nueva campaña de cadena de suministro de código abierto apareció por primera vez en Cyber Security News.

Consultar publicación original ↗