Cuando un desarrollador desprevenido instala un paquete de este tipo, se activa un script posterior a la instalación y llega a un punto final de prueba alojado en Vercel. Ese punto final, a su vez, entrega una carga útil en vivo obtenida de una cuenta de GitHub controlada por un actor de amenazas llamada «stardev0914». A partir de ahí, la carga útil, una variante de OtterCookie que también incorpora capacidades de la otra carga útil característica de la campaña, cola de castorejecuta y establece una conexión remota con el servidor de control de los atacantes. Luego, el malware recopila silenciosamente credenciales, datos de criptomonedas, perfiles de navegador y más.
«El seguimiento del paquete malicioso npm tailwind-magic nos llevó a un punto final de prueba alojado en Vercel, la aplicación tetrismic(.)vercel(.), y desde allí a la cuenta de GitHub controlada por el actor de amenazas que contenía 18 repositorios», dijo en un blog el analista senior de inteligencia de amenazas de Socket, Kirill Boychenko. correocrédito relacionado investigación de Kieran Miyamoto que ayudó a confirmar la cuenta maliciosa de GitHub stardev0914.
Un adversario 'full stack': GitHub, Vercel y NPM
Lo que hace que esta campaña se destaque es la infraestructura en capas detrás de ella. El análisis de Socket rastreó no solo los paquetes NPM sino también cómo los atacantes construyeron un canal de entrega completo: malware que sirve repositorios en GitHub, servidores provisionales en Vercel y servidores C2 separados para exfiltración y ejecución remota de comandos.
