OtterCookie roba tokens de Cursor y Claude en paquetes npm maliciosos con 500+ descargas

Un actor de amenaza vinculado a Corea del Norte publicó el 20 de marzo de 2026 un paquete npm malicioso llamado gemini-ai-checker, presentándolo como una utilidad para verificar tokens de Google Gemini AI. El paquete, junto con otros dos mantenidos por la misma cuenta (express-flowlimit y chai-extensions-extras), acumuló más de 500 descargas antes de ser detectado.

El análisis del código reveló que se trata de una nueva variante de OtterCookie, un backdoor JavaScript atribuido a la campaña Contagious Interview, con capacidades inéditas para robar tokens y claves API de herramientas de inteligencia artificial como Cursor, Claude, Windsurf y PearAI.

La investigación de Cyber and Ramen detalla que el paquete malicioso pesaba 271kB distribuidos en 44 archivos, significativamente más grande que un verificador de tokens típico, pero estructurado para parecer un proyecto moderno legítimo, incluyendo archivos SECURITY markdown. La configuración del comando y control (C2) estaba fragmentada en variables separadas dentro de lib/config.js para evadir búsquedas básicas de strings.

Al instalarse, el paquete contactaba un endpoint de staging hospedado en Vercel (server-check-genimi.vercel[.]app) para descargar y ejecutar un payload JavaScript directamente en memoria usando Function.constructor, evitando escribir archivos al disco y eludiendo herramientas de análisis estático que detectan eval.

La decodificación del payload reveló una arquitectura de cuatro módulos independientes, cada uno ejecutándose como un proceso Node.js separado conectado al servidor C2 en la IP 216.126.237.71. El Módulo 0 establece acceso remoto completo vía Socket.IO, permitiendo captura de pantalla en tiempo real y control de teclado y ratón.

• El Módulo 1 roba credenciales de navegadores y más de 25 wallets de criptomonedas, incluyendo MetaMask, Phantom y Exodus, además de acceder al keychain de login en macOS.
• El Módulo 2 barre el directorio home del usuario buscando archivos sensibles y enumera específicamente directorios de herramientas de IA.
• El Módulo 3 monitorea el portapapeles cada 500 milisegundos, con un retraso de inicio de 3 segundos para evadir detección en sandboxes.

Lo que distingue a esta campaña es el targeting deliberado de herramientas de codificación asistidas por IA. El malware busca directorios como .cursor, .claude, .windsurf y .pearai para exfiltrar tokens de API, historiales de conversación y código fuente. Este enfoque refleja el entendimiento que tienen los actores de DPRK sobre los flujos de trabajo modernos de desarrollo: los programadores cada vez almacenan más credenciales y contexto sensible en estas herramientas, convirtiéndolas en objetivos de alto valor. Aunque gemini-ai-checker fue removido justo antes del 1 de abril, los otros dos paquetes permanecían activos al momento de la publicación, acumulando descargas de investigadores y usuarios desprevenidos.

Los desarrolladores deben verificar el contenido de los paquetes npm antes de instalarlos, revisar si el README coincide con el nombre del paquete, y tratar directorios de herramientas de IA con la misma sensibilidad que aplican a .ssh o .aws. Las organizaciones deben bloquear o monitorear conexiones salientes a Vercel donde sea factible, y utilizar las consultas KQL publicadas por Microsoft para detectar comportamiento sospechoso en procesos Node.js. Esta campaña confirma que los grupos vinculados a DPRK continúan refinando sus técnicas de supply chain attack, ahora con foco específico en el ecosistema de desarrollo con IA.