ALCARED, Centro Autorizado de Servicios de FLUKE Networks en Perú
Paquetes NPM maliciosos dirigidos a usuarios de PayPal
11 de abril de 2025
El sistema de detección de malware OSS basado en IA de FortiGuard Labs ha descubierto recientemente una serie de paquetes NPM maliciosos diseñados para robar información confidencial de sistemas comprometidos. Se cree que estos paquetes fueron creados entre el 5 y el 14 de marzo por un actor de amenazas conocido como tommyboy_h1 y tommyboy_h2 para atacar a los usuarios de PayPal .
PayPal es una plataforma ampliamente utilizada que almacena información financiera confidencial. El uso de nombres relacionados con PayPal ayuda a que estos paquetes maliciosos eviten ser detectados, lo que facilita a los atacantes el robo de información confidencial. Al incluir «PayPal» en el nombre de los paquetes maliciosos, como oauth2-paypal y buttonfactoryserv-paypal , los atacantes también crean una falsa sensación de legitimidad, engañando a los desarrolladores para que los instalen. El código recopila y exfiltra datos del sistema, como nombres de usuario y rutas de directorio, que luego pueden utilizarse para atacar cuentas de PayPal o venderse con fines fraudulentos.
El código tiene características muy similares, y su objetivo es robar información confidencial y enviarla a servidores remotos. Los usuarios perderían su información privada sin saberlo.
Figura 1: Los paquetes publicados del autor de «tommyboy_h1».
Figura 2: Los paquetes publicados del autor de «tommyboy_h2».
El gancho de preinstalación ejecuta automáticamente un script malicioso antes de instalar el paquete, eludiendo la detección del usuario o de las herramientas de seguridad. El script recopila datos del sistema, como el usuario actual, el directorio de trabajo y el nombre de host, lo que ayuda al atacante a comprender el entorno para futuras acciones maliciosas. Esta información se codifica en formato hexadecimal y se ofusca truncando y dividiendo las rutas de directorio para dificultar su detección por las medidas de seguridad. Los datos ofuscados se envían a un servidor externo controlado por el atacante, y la URL generada dinámicamente dificulta su bloqueo. Los datos confidenciales extraídos pueden utilizarse en futuros ataques. El hacker publicó numerosos paquetes maliciosos en poco tiempo.
Figura 3: Código malicioso encontrado en los paquetes maliciosos, por ejemplo, oauth2-paypal v699.0.0
Figura 4: Código idéntico encontrado en otros paquetes, por ejemplo, buttonfactoryserv-paypal v3.50.0
Figura 5: El autor publicó numerosos paquetes maliciosos en poco tiempo.
Conclusión
Estos ataques funcionan mediante un «gancho de preinstalación» en paquetes NPM maliciosos, que ejecuta automáticamente un script al instalar el paquete. Este script recopila información del sistema, como el usuario, el nombre de host y las rutas de directorio, y la envía a un servidor controlado por el atacante. Para detectar una vulnerabilidad, busque paquetes NPM inusuales con nombres como «paypal» (p. ej., oauth2-paypal o buttonfactoryserv-paypal). Otras señales incluyen conexiones de red inesperadas a servidores desconocidos, por lo que también es recomendable revisar los registros de red para detectar cualquier actividad sospechosa. Si encuentra algún paquete sospechoso, elimínelo, cambie las credenciales comprometidas y analice su sistema en busca de otras amenazas. Asegúrese de que su software de seguridad esté actualizado para detectar estos problemas.
Es probable que los autores de tommyboy_h1 y tommyboy_h2 sean la misma persona, que publicó varios paquetes maliciosos en poco tiempo. Sospechamos que el mismo autor creó estos paquetes para atacar a los usuarios de PayPal . Instamos al público a ser precavido al descargar paquetes y a asegurarse de que provengan de fuentes confiables para evitar ser víctimas de este tipo de ataques.
Fuente: