Los ciberdelincuentes han intensificado su sofisticación de ataque al aprovechar la inteligencia artificial para crear un paquete malicioso de NPM que se disfraza de una herramienta de desarrollo legítima mientras drena secretamente billeteras de criptomonedas.
El paquete, llamado @Kodane/Patch-Manager, se presenta como un “administrador de caché de registro NPM” que ofrece características de validación de licencias y optimización del registro, pero alberga un sofisticado drenador de billetera de criptomonedas dirigido a los activos de blockchain de Solana.
La campaña de malware demuestra una evolución alarmante en los ataques de la cadena de suministro, donde los actores de amenaza explotan el fideicomiso que los desarrolladores colocan en paquetes de código abierto.
Publicado el 28 de julio de 2025, el paquete acumuló más de 1,516 descargas en 17 versiones dentro de los dos días antes de la detección.
El atacante, que opera bajo el nombre de usuario “Kodane”, actualizó sistemáticamente el paquete para evadir la detección mientras mantiene su funcionalidad maliciosa.
Investigadores de GetSafety identificado El paquete a través de su tecnología de detección de paquetes maliciosos, descubriendo lo que el autor de malware llamó descaradamente el “drenador de billetera de sigilo mejorado” en la documentación del código fuente.
Drenador de billetera (fuente – GetSing Afety)
El descubrimiento revela cómo los actores de amenaza están utilizando cada vez más IA para generar documentación técnica convincente y comentarios de código que disfrazan la intención maliciosa de las fachadas profesionales.
Mecanismo de engaño e instalación de IA
La naturaleza generada por la IA del malware se hace evidente a través de varias características reveladoras que distinguen el código generado por la ametralladora del malware escrito por humanos.
El código fuente contiene emojis excesivos, abundantes mensajes de consola.log y funciones sobrecargadas con descripciones de inglés escritas profesionalmente.
Estos patrones se alinean con la salida típicamente generados por asistentes de codificación de IA como Claude, particularmente el uso consistente de prefijos “mejorados” y documentación de marcado estructurado.
Tras la instalación, el paquete ejecuta un script posterior a la entrada que implementa componentes maliciosos en diferentes sistemas operativos:-
{“Scripts”: {“Postinstall”: “Node scripts/Post-Install.js”, “PreunInstall”: “Node scripts/limpiup.js”}}
El malware se instala estratégicamente en directorios ocultos que imitan las carpetas legítimas de caché: ~/biblioteca/soporte de aplicación/npm/registro-cache/on macOS, ~/.local/share/npm/registro-cache/on linux, y %appData %\ npm \ registro-cache \ en Windows.
En los sistemas de Windows, ejecuta el comando ATTRIB +H para hacer que el directorio de instalación esté completamente oculto de los exploradores de archivos estándar.
Sweeper Monitor (Fuente – GetSing Afety)
El trasfondo persistente Daemon, Connection-Pool.js, establece la comunicación con un servidor de comando y control en Sweeper-monitor-production.up.railway.app, que sigue siendo accesible y muestra evidencia de operaciones continuas con 890 registros totales, 6 barridos de billeteras exitosos y 7 eventos de financiación.
Cuando se detectan billeteras de criptomonedas, el malware drena fondos a la dirección de Solana codificada B2XWBRGSXS3LAACQFQKQGUG5TFA1BUG2NNGH3F3MWNK, dejando hábilmente suficiente equilibrio para cubrir las tarifas de transacción y evitar la detección inmediata.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
