Un nuevo paquete malicioso en npm, llamado pdf-to-office, fue detectado haciéndose pasar por una herramienta para convertir archivos PDF a Word. Sin embargo, en realidad contenía código diseñado para modificar archivos locales de las aplicaciones Atomic Wallet y Exodus Wallet en sistemas Windows, con el fin de intercambiar direcciones de envío de criptomonedas por otras controladas por los atacantes.

Publicado por primera vez el 24 de marzo de 2025, el paquete fue actualizado tres veces, con la última versión (1.1.2) cargada el 8 de abril. Hasta la fecha, ha sido descargado 334 veces. El código malicioso comprueba si existen versiones específicas de los monederos (Atomic Wallet 2.91.5 y 2.90.6; Exodus 25.13.3 y 25.9.2), y si es así, sobrescribe archivos clave como app.asar o index.js para insertar funciones de tipo clipper (intercambio de direcciones).

Lo preocupante es que, aunque se elimine el paquete malicioso, las modificaciones a los archivos persisten, comprometiendo el software de los monederos hasta que se desinstalan por completo y se reinstalan desde cero.

Además, se reveló otro incidente similar donde 10 extensiones maliciosas de Visual Studio Code se usaban para descargar scripts de PowerShell que desactivaban funciones de seguridad en Windows, establecían persistencia mediante tareas programadas y desplegaban XMRig, un minero de criptomonedas. Estas extensiones lograron más de un millón de instalaciones antes de ser eliminadas. Algunas de ellas incluían nombres populares como Prettier, Claude AI, Discord Rich Presence, y Golang Compiler, muchas creadas por un autor identificado como Mark H. Para disfrazar la actividad, incluso incluían las versiones legítimas de las extensiones que imitaban.

Fuente: thehackernews.com