Un reciente ataque a la cadena de suministro de software ha encendido las alarmas en la comunidad de ciberseguridad. Los atacantes lograron inyectar malware en varios paquetes populares de npm tras robar los tokens de autenticación de los mantenedores del proyecto a través de una campaña de phishing.

Según informó Socket, los atacantes obtuvieron estos tokens al engañar a los desarrolladores mediante correos electrónicos falsos que imitaban a npm. Los mensajes, enviados supuestamente desde “support@npmjs[.]org” con el asunto “Please verify your email address”, redirigían a los usuarios a una página de inicio de sesión falsa ubicada en “npnjs[.]com”, diseñada para capturar credenciales.

Una vez obtenidas las credenciales, los atacantes publicaron versiones maliciosas de los paquetes directamente en el registro de npm, sin necesidad de realizar solicitudes de extracción (pull requests) ni confirmaciones (commits) en los repositorios oficiales de GitHub.

Paquetes y versiones comprometidas

Los siguientes paquetes de npm se vieron afectados:

• eslint-config-prettier: versiones 8.10.1, 9.1.1, 10.1.6 y 10.1.7
• eslint-plugin-prettier: versiones 4.2.2 y 4.2.3
• synckit: versión 0.11.9
• @pkgr/core: versión 0.2.8
• napi-postinstall: versión 0.3.1

El código malicioso incluido en estas versiones intentaba ejecutar un archivo DLL en sistemas Windows, lo que podría permitir la ejecución remota de código, una amenaza crítica para desarrolladores y entornos productivos.

Recomendaciones para desarrolladores

Si estás utilizando alguno de estos paquetes, se recomienda:

• Verificar la versión instalada y revertir a una versión segura.
• Activar la autenticación en dos pasos (2FA) en cuentas de npm.
• Usar tokens con alcance definido (scoped tokens) en lugar de contraseñas para publicar paquetes.
• Supervisar posibles actualizaciones no autorizadas o actividad inusual en sus proyectos.

Desde Socket afirman: “Este incidente demuestra cuán rápido los ataques de phishing dirigidos a mantenedores pueden escalar a amenazas que afectan a todo el ecosistema”.

Amenazas relacionadas: protestware y Chaos RAT

En paralelo, los investigadores identificaron otra campaña que inunda npm con 28 paquetes de “protestware” dirigidos a sitios con dominios rusos o bielorrusos. Estos paquetes desactivan el uso del mouse y reproducen en bucle el himno nacional de Ucrania, aunque solo afectan a usuarios con el idioma del navegador configurado en ruso y que visitan el mismo sitio más de una vez.

La investigadora Olivia Brown señaló: “Este tipo de protestware pone en evidencia cómo ciertas acciones de los desarrolladores pueden permanecer ocultas en dependencias anidadas y manifestarse solo después de varios días o semanas”.

Por otra parte, el equipo de Arch Linux eliminó tres paquetes maliciosos del repositorio AUR (Arch User Repository) al descubrir que instalaban un troyano de acceso remoto (RAT) conocido como Chaos RAT, alojado en un repositorio de GitHub ya eliminado. Los paquetes involucrados —librewolf-fix-bin, firefox-patch-bin y zen-browser-patched-bin— fueron subidos por un usuario con el alias danikpapas.

Los responsables de Arch Linux recomendaron eliminar estos paquetes de inmediato y tomar las medidas necesarias para asegurar que los sistemas no hayan sido comprometidos.

Fuente: https://thehackernews.com/2025/07/malware-injected-into-6-npm-packages.html