Descubren paquete malicioso "os-info-checker-es6" en npm con técnica oculta

Investigadores de ciberseguridad han identificado un nuevo paquete malicioso en el repositorio npm, llamado os-info-checker-es6, que simula ser una herramienta legítima para obtener información del sistema operativo. Sin embargo, su verdadero propósito es instalar una carga útil maliciosa en los sistemas comprometidos.

Según un informe de la firma de seguridad Veracode, este paquete emplea una técnica avanzada de esteganografía basada en Unicode para ocultar su código malicioso inicial. Además, se vale de enlaces cortos de Google Calendar como mecanismo dinámico para descargar cargas útiles adicionales, haciendo más difícil su detección y análisis.


Un ataque disfrazado de utilidad npm legítima

El paquete os-info-checker-es6 fue subido al registro npm el 19 de marzo de 2025 por el usuario "kim9123", y ha sido descargado más de 2.000 veces hasta la fecha. Este mismo actor publicó otro paquete llamado skip-tot, que incluye a os-info-checker-es6 como dependencia. Aunque este segundo paquete ha tenido menos alcance (94 descargas), forma parte de la misma campaña maliciosa.

Inicialmente, las primeras cinco versiones del paquete no mostraban señales evidentes de comportamiento malicioso. Sin embargo, una actualización publicada el 7 de mayo de 2025 incorporó un archivo preinstall.js con código ofuscado. Este código analiza caracteres Unicode privados para extraer y ejecutar una segunda etapa del malware.

Uso de Google Calendar como cuentagotas de malware

Una de las tácticas más llamativas de esta campaña es el uso de eventos de Google Calendar para entregar la carga útil final. El código malicioso se conecta a URLs del tipo No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]google/<string>, donde el título del evento contiene una cadena codificada en Base64 que apunta a un servidor remoto controlado por los atacantes, con dirección IP 140.82.54[.]xxx.

Esta técnica convierte a Google Calendar en un intermediario encubierto (dead drop resolver), ofuscando la infraestructura del atacante y dificultando su detección mediante herramientas de seguridad convencionales.

No obstante, al momento de la investigación, no se ha observado la distribución activa de cargas útiles adicionales, lo que sugiere que la campaña puede estar en desarrollo, inactiva o incluso finalizada. También es posible que el servidor de comando y control (C2) esté configurado para responder únicamente a sistemas que cumplan ciertos criterios específicos.

Más paquetes implicados en la campaña

Además de skip-tot, los investigadores han identificado al menos tres paquetes adicionales en npm que incluyen a os-info-checker-es6 como dependencia:

• vue-dev-serverr
• vue-dummyy
• vue-bit

Veracode señala que estos paquetes probablemente forman parte de la misma campaña maliciosa, cuyo objetivo es comprometer desarrolladores desprevenidos mediante técnicas de typoquatting y dependencia encadenada.

Una amenaza en evolución en el ecosistema npm

"El paquete os-info-checker-es6 representa una amenaza sofisticada y en constante evolución dentro del ecosistema npm", afirmó Veracode. "El atacante ha pasado de pruebas encubiertas a la implementación de un malware en múltiples etapas".

La divulgación de esta amenaza coincide con un informe reciente de la empresa Socket, especializada en seguridad de la cadena de suministro de software. En él se destacan las principales técnicas empleadas por actores maliciosos en 2025:

• Typosquatting
• Slopsquatting
• Ofuscación de código
• Abuso del almacenamiento en caché en repositorios como Go
• Ejecución en varias etapas
• Uso malicioso de herramientas legítimas como Google Calendar

Recomendaciones para desarrolladores y equipos de seguridad

Frente a este tipo de amenazas, los expertos en seguridad Kirill Boychenko y Philipp Burckhardt recomiendan adoptar medidas proactivas para mitigar riesgos, como:

• Detectar scripts inesperados en procesos post-instalación
• Monitorear tráfico de red no autorizado
• Validar exhaustivamente los paquetes de terceros
• Aplicar análisis estático y dinámico del código
• Implementar la fijación de versiones
• Revisar cuidadosamente los registros en pipelines CI/CD

En conclusión, el caso de os-info-checker-es6 demuestra cómo los atacantes están evolucionando rápidamente y utilizando técnicas cada vez más sofisticadas para comprometer sistemas a través de repositorios de software confiables como npm. El uso de Google Calendar como cuentagotas de malware representa una estrategia creativa y preocupante, subrayando la necesidad de auditorías constantes y una mayor concienciación sobre los riesgos de las dependencias maliciosas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta