Hackers norcoreanos despliegan 26 paquetes maliciosos en npm

Una nueva amenaza en la cadena de suministro pone en alerta a los desarrolladores. Investigadores de seguridad advierten que hackers norcoreanos han subido 26 paquetes maliciosos al registro de npm, con el objetivo de infectar los equipos de los desarrolladores y robar datos sensibles.

GoPlus 中文社区发推提醒，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本（install.js），该脚本会在软件包安装过程中自动执行，进而运行位于“vendor/scrypt-js/version.js”中的恶意代码，…

— 吴说区块链 (@wublockchain12) March 3, 2026

La advertencia, compartida por la comunidad GoPlus el 3 de marzo, vincula la campaña con el conocido grupo de hackers “Famous Chollima”. Según el informe, los paquetes ocultan un troyano de acceso remoto (RAT) que se activa durante la instalación. Este incidente evidencia los riesgos crecientes en los ecosistemas de código abierto, especialmente para desarrolladores Web3 y de criptomonedas.

Paquetes maliciosos que se ocultan a plena vista

Los investigadores señalan que los atacantes publicaron 26 paquetes falsos que imitan herramientas legítimas para desarrolladores, principalmente bibliotecas de linting y utilidades. Cada paquete incluye un script install.js que se ejecuta automáticamente al instalarse. Una vez activado, el script ejecuta código oculto ubicado en vendor/scrypt-js/version.js, que descarga silenciosamente un troyano de acceso remoto desde una URL maliciosa.

Dado que las instalaciones de npm suelen ejecutarse automáticamente dentro de entornos de desarrollo, muchos usuarios podrían no notar la infección. Los analistas de seguridad indican que esta táctica es efectiva porque aprovecha los flujos de trabajo normales de los desarrolladores. En resumen, el malware llega disfrazado como una herramienta rutinaria.

Qué puede hacer el malware

El RAT incrustado da a los atacantes un acceso profundo a los sistemas infectados. Según la alerta de GoPlus, el malware puede realizar varias acciones peligrosas: registrar pulsaciones de teclado, robar datos del portapapeles y recopilar credenciales del navegador. También escanea los sistemas con TruffleHog para localizar secretos expuestos. En casos más graves, intenta robar repositorios Git y claves SSH. Para desarrolladores de criptomonedas, el riesgo es aún mayor: claves o credenciales robadas podrían derivar directamente en violaciones de wallets o comprometer proyectos. Por ello, los equipos de seguridad consideran esta campaña de alta gravedad.

Vínculos con el grupo Famous Chollima

Los investigadores han relacionado la actividad con la operación de hackers norcoreanos conocida como Famous Chollima. Este grupo ha sido rastreado por firmas de seguridad desde al menos 2018 y tiene historial de atacar desarrolladores, proyectos de criptomonedas y plataformas financieras.

Análisis recientes sugieren que la campaña utiliza técnicas avanzadas de ofuscación. Algunos informes mencionan métodos de esteganografía que ocultan datos de comando y control en textos aparentemente inofensivos. La infraestructura del malware también parece distribuida en varios servicios de hosting, dificultando su eliminación. Este patrón coincide con operaciones norcoreanas anteriores, enfocadas en infiltración a largo plazo más que en ataques rápidos.

Advertencia para desarrolladores

Los expertos en seguridad instan a los desarrolladores a verificar las fuentes de los paquetes antes de instalar dependencias. Incluso proyectos pequeños pueden convertirse en puntos de entrada para brechas más grandes en la cadena de suministro. GoPlus advirtió específicamente evitar los paquetes señalados y revisar cuidadosamente los árboles de dependencias. También se recomienda habilitar lockfiles, herramientas de auditoría y monitoreo en tiempo de ejecución.

Este incidente recuerda que los ecosistemas de código abierto siguen siendo un objetivo principal para hackers vinculados a estados. A medida que crece el desarrollo de Web3 y criptomonedas, los riesgos aumentan. Por ahora, los expertos señalan que la higiene básica —verificar paquetes y limitar la confianza— sigue siendo la mejor defensa.