Los investigadores de ciberseguridad han identificado dos nuevos paquetes malignos en el registro NPM que opera los contratos inteligentes de Ethereum blockchain para realizar acciones dañinas en sistemas comprometidos. Este desarrollo enfatiza una tendencia creciente para los ciberdelincuentes que constantemente buscan métodos innovadores para distribuir malware y al mismo tiempo evitar la detección.
Según el investigador de ReversingLabs, Lucija Valentić, estos paquetes han sido diseñados para cubrir asignaciones malignas que han activado la instalación de descarga Termalware en los sistemas afectados. Ambos paquetes, que se cargaron a NPM en julio de 2025, han sido eliminados del registro.
ReversingLabs señaló que estas bibliotecas maliciosas son parte de una campaña extensa y avanzada que se centra tanto en NPM como en GitHub, que engaña efectivamente a los desarrolladores desprevenidos para descargar e implementar el código dañino. Aunque los paquetes en sí no intentaron ocultar su funcionalidad maligna, los proyectos de GitHub que lo acompañaban al extremo para presentarse como creíble y confiable.
El comportamiento maligno de los paquetes se activa tan pronto como se usan en cada proyecto, lo que hace que el sistema aliente a recoger una carga útil de la siguiente fase y realizar un servidor controlado por los atacantes. Aunque los descargadores de malware no son nuevos, el uso de contratos inteligentes de Ethereum para organizar las URL para alojar la carga útil, una notable desviación de los métodos tradicionales. Esta técnica, que recuerda a Etherhiding, refleja las tácticas en desarrollo adoptadas por los actores de amenaza para que pasen desapercibidos.
La investigación adicional ha demostrado que estos paquetes están integrados en una red de repositorios de GitHub, según los informes, conectados a un proyecto que afirma ser un Solana-Handelsbot que utiliza datos en tiempo real en las cadenas para realizar automáticamente transacciones, lo que ahorra tiempo y esfuerzo. «La cuenta GitHub que está vinculada a este repositorio no está disponible en particular.
Los expertos creen que estas cuentas son parte de un programa de distribución como servicio (DAAS) que se conoce como Stargazers Ghost Network. Esta red consiste en cuentas fraudulentas de GitHub que fortalecen artificialmente la popularidad de los repositorios malignos jugando, observando, observando y suscribiendo. Uno de los cambios realizados en el código fuente de estos repositorios es la importación de lo problemático colortoolsv2. Otros repositorios identificados si la promoción del paquete NPM incluye ethereum-mev-bot-v2» arbitrage-botY hyperliquid-trading-bot.
Las convenciones de nombres utilizadas en estos repositorios de GitHub sugieren que los desarrolladores y usuarios de criptomonedas son los objetivos más importantes de esta campaña que utilizan técnicas de ingeniería social y cubiertas para dar derecho a posibles víctimas.
Valentić enfatizó la importancia de las evaluaciones exhaustivas por parte de los desarrolladores al considerar una biblioteca para su inclusión en sus proyectos. Esto significa una evaluación cuidadosa no solo de los paquetes de código abierto que están disponibles, sino también de los propietarios de mantenimiento detrás de él, e insta a los desarrolladores a mirar más allá de las estadísticas, como el número de subestensadores o descargas para confirmar la autenticidad de un paquete y los desarrolladores.
