Các gói này đã được tải lên npm vào ngày 4/7/2025 và không bị phát hiện trong một thời gian dài, do có nhiều lớp obfuscation giúp thoát khỏi các cơ chế phân tích tĩnh thông thường. Theo các nhà nghiên cứu tại công ty an ninh mạng Socket, mười gói này đã có gần 10.000 lượt tải xuống và đánh cắp thông tin đăng nhập từ system keyring, trình duyệt và dịch vụ xác thực.

Đến thời điểm hiện tại các gói này vẫn khả dụng, mặc dù Socket đã báo cáo chúng tới npm, danh sách bao gồm: typescriptjs, deezcord.js, dizcordjs, dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js, zustand.js Các nhà nghiên cứu cho biết, các gói này sử dụng challenge CAPTCHA giả mạo và tải xuống phần mềm đánh cắp thông tin có dung lượng 24MB được đóng gói cùng với PyInstaller.

Để thu hút người dùng, kẻ tấn công sử dụng typosquatting, một chiến thuật lợi dụng lỗi chính tả hoặc các biến thể của tên hợp lệ cho TypeScript, discord.js (thư viện bot Discord), ethers.js (thư viện Ethereum JS), nodemon (tự động khởi động lại ứng dụng Node), react-router-dom và zustand.

Khi tìm kiếm các gói hợp pháp trên nền tảng npm, các nhà phát triển có thể nhập sai tên gói hợp pháp hoặc chọn nhầm gói độc hại được liệt kê trong kết quả. Sau khi cài đặt, tập lệnh “postinstall” sẽ tự động kích hoạt để tạo một terminal mới phù hợp với hệ điều hành được phát hiện của máy chủ. Tập lệnh này thực thi app.js bên ngoài log cài đặt hiển thị và xóa cửa sổ ngay lập tức để tránh bị phát hiện.

Tệp app.js là trình tải phần mềm độc hại sử dụng bốn lớp obfuscation: lớp bao bọc eval tự giải mã, giải mã XOR bằng khóa được tạo động, payload được mã hóa URL và obfuscation control-flow. Script này hiển thị CAPTCHA giả mạo trong thiết bị đầu cuối bằng ASCII để tạo tính hợp pháp giả cho quá trình cài đặt.

CAPTCHA ASCII giả mạo

Tiếp theo, nó gửi thông tin vị trí địa lý và dấu vân tay hệ thống của nạn nhân đến máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công. Sau khi có được thông tin này, phần mềm độc hại tải xuống và tự động khởi chạy một tệp nhị phân dành riêng cho nền tảng từ một nguồn bên ngoài, đó là một tệp thực thi PyInstaller 24 MB.

Phần mềm độc hại nhắm vào system keyring như Windows Credential Manager, macOS Keychain, Linux SecretService, libsecret và KWallet, cũng như dữ liệu được lưu trữ trong trình duyệt Firefox và Chromium, bao gồm hồ sơ, mật khẩu đã lưu và phiên cookie.

Hơn nữa, nó còn tìm kiếm các khóa SSH trong các thư mục phổ biến và cũng cố gắng định vị và thu thập OAuth, JWT và các token API khác. Thông tin bị đánh cắp được đóng gói thành các tệp nén và truyền đến máy chủ của kẻ tấn công tại địa chỉ 195[.]133[.]79[.]43.

Các nhà phát triển đã tải xuống bất kỳ gói nào được liệt kê ở trên đều được khuyến nghị gỡ bỏ và thay đổi tất cả token truy cập và mật khẩu, vì rất có thể chúng đã bị xâm phạm. Khi tải các gói từ npm hoặc các index nguồn mở khác, các nhà phát triển nên kiểm tra kỹ lỗi chính tả và đảm bảo rằng mọi thứ đều đến từ các nhà xuất bản có uy tín và kho lưu trữ chính thức.