Threat Advisories

Ataque norcoreano a la cadena de suministro "StegaBin" a través de 26 paquetes npm maliciosos

Escrito por Integrity360 | 04-mar-2026 12:26:00

Investigadores de ciberseguridad han descubierto una nueva oleada de ataques a la cadena de suministro atribuidos a actores de amenazas alineados con el Estado norcoreano, que implican la publicación de 26 paquetes npm maliciosos que se hacen pasar por herramientas legítimas para desarrolladores. La campaña, rastreada como "StegaBin", utiliza esteganografía basada en Pastebin para ocultar puntos finales de mando y control (C2) y, en última instancia, desplegar ladrones de credenciales y un troyano de acceso remoto (RAT) multiplataforma. La infraestructura que sustenta estas operaciones abarca 31 despliegues de Vercel, lo que pone de relieve una amenaza sofisticada y en evolución para la cadena de suministro mundial de software.

Actor de la amenaza

  • La campaña está vinculada al grupo de actividad de amenazas norcoreano "Famous Chollima".
  • La operación se alinea con las tácticas norcoreanas observadas anteriormente que implican la infiltración en la cadena de suministro y el malware dirigido a desarrolladores.
  • Se hace pasar por una utilidad legítima para desarrolladores
  • Incluye un script install.js malicioso que se autoejecuta durante la instalación.
  • Tipea paquetes reales para parecer de confianza

Detalles técnicos

Paquetes npm maliciosos

Los investigadores identificaron 26 paquetes npm, incluyendo argonist, bcryptance, bubble-core, expressjs-lint, fastify-lint, mqttoken, sequelization y otros. Cada paquete:

  • Se hace pasar por una utilidad legítima para desarrolladores
  • Incluye un script install.js malicioso que se ejecuta automáticamente al instalarse.
  • Tipea paquetes reales para que parezcan fiables.

Mecanismo de entrega de la carga útil

El flujo de trabajo malicioso implica:

  1. Ejecución durante la instalación de una carga útil desde vendor/scrypt-js/version.js
  2. Recuperación esteganográfica de URLs C2 de posts de Pastebin: ensayos de apariencia benigna que contienen caracteres ocultos en posiciones calculadas.
  3. Lógica de descodificación que:
    • Elimina los caracteres Unicode de anchura cero
    • Lee un marcador de longitud de 5 dígitos
    • Extrae caracteres a intervalos uniformemente espaciados para reconstruir las direcciones C2.

Infraestructura de mando y control

  • Infraestructura C2 alojada en 31 despliegues Vercel
  • Los mensajes de Pastebin actúan como solucionadores de errores, ocultando las ubicaciones de los servicios maliciosos.

Capacidades del malware

El malware desplegado incluye

  • Robadores de credenciales dirigidos a entornos de desarrolladores
  • RAT multiplataforma (Windows/macOS/Linux)
  • Módulos habilitadores:
    • Keylogging
    • Extracción de credenciales
    • Acceso persistente
    • Explotación de herramientas como Visual Studio Code
  • Compromiso de las estaciones de trabajo de los desarrolladores, lo que permite a los atacantes acceder a credenciales confidenciales, tokens y claves API.
  • Propagación de código contaminado en aplicaciones posteriores, creando vías de infección secundarias.
  • Persistencia en distintos entornos debido a la naturaleza multiplataforma de la RAT.
  • Mayor dificultad de detección debido a:
    • Nombres de paquetes de apariencia legítima
    • Vías normales de ejecución del proceso de compilación

Impacto.

Esta campaña representa una importante amenaza para la cadena de suministro de software, especialmente para desarrolladores y organizaciones que dependen en gran medida de herramientas basadas en npm:

Riesgos

Indicadores de compromiso

Paquetes maliciosos

La lista de paquetes npm maliciosos es la siguiente

argonist@0.41.0

bcryptance@6.5.2

bee-quarl@2.1.2

bubble-core@6.26.2

corstoken@2.14.7

daytonjs@1.11.20

ether-lint@5.9.4

expressjs-lint@5.3.2

fastify-lint@5.8.0

formmiderable@3.5.7

hapi-lint@19.1.2

iosysredis@5.13.2

jslint-config@10.22.2

jsnwebapptoken@8.40.2

kafkajs-lint@2.21.3

loadash-lint@4.17.24

mqttoken@5.40.2

prism-lint@7.4.2

promanage@6.0.21

sequelization@6.40.2

typoriem@0.4.17

undicy-lint@7.23.1

uuindex@13.1.0

vitetest-lint@4.1.21

windowston@3.19.2

zoddle@4.4.2

Indicadores de infraestructura

  • URLs de Pastebin que contienen marcadores C2 ocultos
  • Aplicaciones maliciosas alojadas en Vercel (31 despliegues)
  • Auditoría de todas las dependencias npm a través de proyectos para los paquetes maliciosos listados
  • Elimine y ponga en cuarentena cualquier instancia de los paquetes identificados.
  • Rotación de las credenciales utilizadas en los entornos de desarrollo afectados
  • Realizar análisis de puntos finales para:
    • rastros de autoejecución de install.js
    • actividad de carga útil vendor/scrypt-js/version.js
  • Exigir la supervisión de las estaciones de trabajo de los desarrolladores para detectar conexiones salientes anómalas (por ejemplo, a Pastebin, implementaciones de Vercel).

Medidas recomendadas

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente,póngase en contactopara averiguar cómo puede proteger su organización.

 

 

 

 
Ver post completo