Cybersecurity-onderzoekers hebben twee gekaapte npm-pakketten en een cluster Go-pakketten ontdekt die zijn ontworpen om een op Python gebaseerde informatie-diefstaler in te zetten op gecompromitteerde Windows-, Linux- en macOS-hosts.
“Deze aanval vermijdt de meest voorkomende npm-uitvoeringspaden via levenscyclusscripts, misschien in een poging ‘compatibel’ te blijven met de beveiligingsmaatregelen van npm v12”, zei JFrog in een technische analyse.
“Het pakket verbergt de uitvoering in een VS Code-taak, geconfigureerd om automatisch te worden uitgevoerd wanneer de projectmap wordt geopend in VS Code. Van daaruit haalt de malware gecodeerd JavaScript op uit blockchain-transactiegegevens, maakt verbinding met de door de aanvaller bestuurde infrastructuur, lanceert een socket.io-achterdeur en zet uiteindelijk een Python-infostealer in.
De namen van de geïdentificeerde npm-pakketten worden hieronder vermeld:
- html-naar-gutenberg
- fetch-page-assets (waarin html-naar-gutenberg als afhankelijkheid wordt vermeld)
De twee pakketten zijn op 25 mei 2026 geüpload naar npm en kunnen niet langer worden gedownload vanuit het register. Het startpunt van de aanval is een verborgen Microsoft Visual Studio Code (VS Code)-taak genaamd “eslint-check” die is geconfigureerd met de optie “runOn: ‘folderOpen'” om de uitvoering van willekeurige code te activeren wanneer de map wordt geopend als een werkruimtemap in een IDE zoals VS Code of Cursor.
“Ze voeren niet elke geneste .vscode/tasks.json recursief uit; in dit geval wordt de trigger geactiveerd wanneer de kwaadaardige pakketmap zelf wordt geopend als werkruimte en als vertrouwd wordt gemarkeerd, of wanneer de ontwikkelaar expliciet automatische taken toestaat”, aldus JFrog. “Het commando vermomt de payload ook als een lettertypebestand – public/fonts/fa-solid-400.woff2, ook al bevat het bestand alleen JavaScript-code.”
Het is vermeldenswaard dat het misbruik van een automatisch uitgevoerde VS Code-taak, gekoppeld aan de vermomming van JavaScript-malware als lettertypebestanden, wordt toegeschreven aan Noord-Korea. Het OpenSourceMalware-team, dat de activiteit volgt onder de naam Fake Font, heeft het beschreven als een variant van Contagious Interview, een langlopende campagne die zich richt op softwareontwikkelaars en technisch personeel via frauduleuze sollicitatiegesprekken.
“Deze ‘Fake Font’-campagne levert een meerfasige lader op die uiteindelijk de InvisibleFerret Python-achterdeur inzet, ontworpen om cryptocurrency-portefeuilles en browsergegevens te stelen en permanente toegang tot stand te brengen”, merkte beveiligingsonderzoeker Paul McCarty in januari op. “Dit is de derde deelcampagne van de Besmettelijke Interview-campagne die sinds 2023 loopt.”
Het nep-lettertypebestand gebruikt de blockchain-infrastructuur als dead drop-resolver en vertrouwt op TronGrid en Aptos als fallback-mechanisme om een JavaScript-payload in de volgende fase op te halen op een manier die bestand is tegen verwijderingsinspanningen. De JavaScript-fase herhaalt hetzelfde dead drop-ophaalpatroon om een command-and-control (C2)-server te configureren die bestandsuploads en de levering van Python-malware mogelijk maakt.
Dit omvat het opzetten van een Socket.io-achterdeur die de operator afstandsbediening geeft over de geïnfecteerde host via functies zoals shell-uitvoering, klembord-harvesting, bestandssysteembewerkingen, bestandsupload, procesbeheer en willekeurige JavaScript-uitvoering.
Tegelijkertijd lanceert de infectieketen een Python-ladercomponent die verantwoordelijk is voor het ophalen van de Python-infostealer van de C2-server en het installeren van de noodzakelijke afhankelijkheden. Het artefact is een uitgebreide credential-, browser-, portemonnee- en ontwikkelaarsartefact-steeler die gegevens kan overhevelen die zijn opgeslagen in Chromium-gebaseerde en Mozilla Firefox-browsers, wachtwoordbeheerders, authenticators en cryptocurrency-portefeuilles.
Het is ook uitgerust om op ontwikkelaars gerichte informatie te verzamelen, zoals Git-inloggegevens, GitHub CLI hosts.yml, GitHub Desktop-logboeken, VS Code en globale opslag, evenals gegevens van Windows Credential Manager, Linux Secret Service, KDE Wallet, macOS Keychain en metadata voor cloudopslag voor Dropbox, Google Drive, Microsoft OneDrive, Apple iCloud, Box, Mega en pCloud.
In de laatste fase worden de verzamelde gegevens verpakt in gecomprimeerde ZIP-archieven en geüpload naar de C2-server, en naar een Telegram-bot als de aanvaller tijdens runtime een bottoken verstrekt.
De campagne was ook gericht op het Go-ecosysteem, waarbij Nextron Systems een reeks van 16 Go-pakketten ontdekte die dezelfde malware bevatten. De lijst is als volgt –
- github.com/lambda-platform/lambda
- github.com/reauheau/goaubio
- github.com/glacialspring/go-winsparkle
- github.com/bm-197/chill
- github.com/naol7/dist-task-scheduler
- github.com/anatoli-derese/a2sv-exercise
- github.com/amantsehay/a2sv-go-course
- github.com/dexbotsdev/uniswap-v2-v3-arbitrage
- github.com/lambda-platform/ebarimt-rest-api
- github.com/lambda-platform/dan
- github.com/zainirfan13/graphql-client
- github.com/hngi/team-fierce-backend-golang
- github.com/glacialspring/static
- github.com/rickt/slack-weather-bot
- github.com/Barsu5489/commerce
- github.com/Setsu548/Logistic
“De meeste lijken legitieme pakketten te zijn waarvan de laatste uitgebrachte versie de malware bevatte naast de originele pakketinhoud, met dezelfde structuur en een nep-lettertypebestand”, voegde JFrog eraan toe.
Gebruikers die de pakketten hebben geïnstalleerd, wordt geadviseerd deze met onmiddellijke ingang te verwijderen, ontwikkelaarsmachines te doorzoeken op verborgen taken voor het openen van VS Code-mappen en inloggegevens, tokens, cloudinloggegevens, API-sleutels, in de browser opgeslagen inloggegevens en portemonnee-inloggegevens te roteren.
“Uit de payloads blijkt dat de aanvaller geïnteresseerd was in zowel onmiddellijke diefstal als interactieve toegang”, concludeerde het cyberbeveiligingsbedrijf. “De op socket.io gebaseerde backdoor zorgt voor het uitvoeren van opdrachten en het verzamelen van bestanden, terwijl de Python-fase brede inloggegevens en portemonnee-oogsten uitvoert via browsers, OS-inloggegevensopslagplaatsen, ontwikkelaarstools en cryptocurrency-applicaties.”
