GoPlus advierte sobre 26 paquetes npm maliciosos vinculados a la campaña "Famous Chollima"

GoPlus Chinese Community advirtió en X el 3 de marzo que 26 paquetes maliciosos supuestamente vinculados a hackers norcoreanos han sido publicados en el registro npm, cada uno conteniendo un script "install.js" que se ejecuta durante la instalación y activa código dañino en "vendor/scryptjs/version.js". Según la advertencia, este código descarga y ejecuta un troyano de acceso remoto mediante una URL maliciosa única, permitiendo el registro de pulsaciones de teclas, robo de datos del portapapeles, extracción de credenciales del navegador, escaneo de secretos basado en TruffleHog, exfiltración de repositorios Git y robo de claves SSH, en una operación asociada a la campaña de hackeo "Famous Chollima". Se aconseja a usuarios y desarrolladores verificar las fuentes y seguridad de los paquetes antes de instalarlos para evitar los siguientes 26 paquetes npm y reducir riesgos de violaciones de privacidad o pérdida de activos: argonist@0.41.0, bcryptance@6.5.2, beequarl@2.1.2, bubblecore@6.26.2, corstoken@2.14.7, daytonjs@1.11.20, etherlint@5.9.4, expressjslint@5.3.2, fastifylint@5.8.0, formmiderable@3.5.7, hapilint@19.1.2, iosysredis@5.13.2, jslintconfig@10.22.2, jsnwebapptoken@8.40.2, kafkajslint@2.21.3, loadashlint@4.17.24, mqttoken@5.40.2, prismlint@7.4.2, promanage@6.0.21, sequelization@6.40.2, typoriem@0.4.17, undicylint@7.23.1, uuindex@13.1.0, vitetestlint@4.1.21, windowston@3.19.2, zoddle@4.4.2.