Malware Stealit abusa de función Node.js para infectar con instaladores falsos de juegos y VPN

Investigadores de ciberseguridad han detectado una nueva campaña activa del malware denominado Stealit que explota la característica Single Executable Application (SEA) de Node.js para distribuir su código malicioso. Esta técnica permite empaquetar aplicaciones Node.js en archivos ejecutables únicos que no requieren tener Node.js instalado previamente en el sistema. Stealit se disfraza de instaladores legítimos de juegos populares y aplicaciones VPN, usualmente distribuidos a través de sitios de intercambio de archivos como Mediafire o Discord. Esta táctica aprovecha la confianza del usuario en software conocido para inducir la instalación del malware en sus equipos. Una vez instalado, Stealit puede robar credenciales, controlar remotamente el dispositivo, monitorear la pantalla, activar la cámara, y hasta desplegar ransomware. Su diseño incluye complejos mecanismos de evasión para evitar ser detectado por análisis automáticos o manuales, como verificar que no esté en entornos virtualizados o herramientas de depuración. El malware Stealit es comercializado abiertamente en plataformas clandestinas, ofreciendo diversas suscripciones que van desde acceso semanal hasta licencias vitalicias con precios que alcanzan los miles de dólares. Esta profesionalización apunta a un actor de amenazas sofisticado que continúa evolucionando sus métodos para maximizar su impacto. Expertos recomiendan extremar precauciones y evitar descargar software de fuentes no oficiales, así como implementar soluciones avanzadas de seguridad en endpoints y monitoreo de redes para detectar comportamientos sospechosos relacionados con Node.js. Este caso pone en evidencia cómo la innovación tecnológica puede ser doble filo cuando es abusada por actores maliciosos para generar daño significativo.