Investigadores de Veracode han descubierto una amenaza significativa en el repositorio npm: el paquete malicioso os-info-checker-es6, que implementa técnicas sofisticadas de ocultamiento de código malicioso. Este componente, que ha registrado más de 1.000 descargas desde mayo de 2025, representa un nuevo nivel de complejidad en los ataques dirigidos a la cadena de suministro de software.

Anatomía de una Amenaza Evolutiva

El paquete, inicialmente publicado como una herramienta legítima de recopilación de información del sistema, experimentó una transformación maliciosa en su versión 1.0.8. La actualización introdujo un elaborado sistema de distribución de malware que combina archivos binarios específicos para cada plataforma y scripts de instalación ofuscados, dificultando significativamente su detección por herramientas de seguridad convencionales.

Innovación en Técnicas de Ocultamiento

Los atacantes implementaron un método de esteganografía particularmente ingenioso, aprovechando caracteres Unicode invisibles del conjunto Variation Selectors Supplement. Esta técnica, que utiliza modificadores normalmente destinados a variaciones de glifos en sistemas de escritura complejos, permite ocultar código malicioso después del carácter ‘|’, evadiendo la mayoría de los análisis de seguridad automatizados.

Infraestructura de Control Sofisticada

La investigación reveló un sistema de comando y control (C2) que utiliza Google Calendar como proxy de comunicación. Este mecanismo innovador recupera URLs codificadas en base64 a través del atributo data-base-title de eventos del calendario, proporcionando un canal de comunicación que resulta extremadamente difícil de detectar y bloquear mediante métodos tradicionales de seguridad.

Amenazas Relacionadas y Alcance del Impacto

Se han identificado cuatro paquetes adicionales vinculados: skip-tot, vue-dev-serverr, vue-dummyy y vue-bit. Aunque estos componentes se presentan como herramientas de desarrollo legítimas, su conexión con la campaña principal está bajo investigación activa. La presencia continuada de estos paquetes en el repositorio npm aumenta el riesgo de comprometer nuevos proyectos de desarrollo.

Este incidente subraya la crítica necesidad de implementar prácticas robustas de seguridad en el desarrollo de software. Se recomienda a los equipos de desarrollo realizar auditorías inmediatas de sus dependencias, implementar análisis automatizado de seguridad en sus pipelines de CI/CD, y establecer políticas estrictas de gestión de dependencias. La sofisticación de este ataque demuestra la evolución continua de las amenazas en la cadena de suministro de software y la importancia de mantener una postura de seguridad proactiva.