Múltiples paquetes de NPM se han comprometido como parte de un ataque de dependencia de suministro de software luego de que la cuenta de un mantenedor se vio comprometida en un ataque de phishing.
El ataque se dirigió a Josh Junon (además conocido como Qix), quien recibió un mensaje de correo electrónico que imitó NPM (“Support@NPMJS (.) Ayuda”), instándolos a modernizar su aggiornamento de sus credenciales de autenticación de dos factores (2FA) antiguamente del 10 de septiembre de 2025, haciendo clic en el enlace incrustado.
Se dice que la página de phishing impulsó al co-mantenimiento a ingresar su nombre de beneficiario, contraseña y token de autenticación de dos factores (2FA), solo para que se robe probable por medio de un ataque adversario en el medio (AITM) y se usa para difundir la interpretación reacio del registro de NPM.
Los siguientes 20 paquetes, que atraen colectivamente más de 2 mil millones de descargas semanales, se han confirmado como parte del incidente –
- ansi-pulgex@6.2.1
- ansi-styles@6.2.2
- backslash@0.2.1
- chalk@5.6.1
- tiza-template@1.1.1
- Color-Convert@3.1.1
- color-name@2.0.1
- color string@2.1.1
- debug@4.4.2
- Error-ex@1.3.3
- ha-anhansi@6.0.1
- is-arrayish@0.3.3
- proto-tinker-wc@1.8.7
- admite hyperlinks@4.1.1
- simple-swizzle@0.2.3
- slice-annsi@7.1.1
- strip-ansi@7.1.1
- admite-color@10.2.1
- admite hyperlinks@4.1.1
- wrap-ansi@9.0.1
“Lo siento a todos, debería tener prestado más atención”, dijo Junon en una publicación sobre Bluesky. “No como yo; he tenido una semana agobiante. Trabajará para extirpar esto”.
Un exploración del malware ofuscado inyectado en el código fuente revela que está diseñado para interceptar las solicitudes de transacción de criptomonedas e canjear la dirección de la billetera de destino con una billetera controlada por el atacante que lo coincide estrechamente al calcular la distancia de Levenshtein.
Según Charlie Eriksen de Aikido Security, la carga útil actúa como un interceptor basado en el navegador que secuestra el tráfico de la red y las API de las aplicaciones para robar activos de criptomonedas reescribiendo solicitudes y respuestas. Actualmente no se sabe quién está detrás del ataque.
“¡La carga útil comienza revisando la ventana TypeOf! == ‘Undefined’ para confirmar que se está ejecutando en un navegador”, dijo Socket. “Luego se conecta a la ventana.
“Esto significa que el malware se dirige a los usuarios finales con billeteras conectadas que visitan un sitio que incluye el código comprometido. Los desarrolladores no son inherentemente el objetivo, pero si abren un sitio afectado en un navegador y conectan una billetera, además se convierten en víctimas”.
Los ecosistemas de paquetes como NPM y el índice de paquetes de Python (PYPI) siguen siendo objetivos recurrentes correcto a su popularidad y amplio calibre en el interior de la comunidad de desarrolladores, con atacantes que abusan de la confianza asociada con estas plataformas para impulsar las cargas aperos maliciosas.
Más allá de la publicación de paquetes maliciosos directamente, los atacantes además han empleado técnicas como el tipo de tipograto o incluso la explotación de dependencias hallucinadas de IA, llamadas SlopSquatting, para engañar a los desarrolladores para instalar malware. El incidente indica una vez la aprieto de ejercitar vigilancia y endurecimiento de las tuberías de CI/CD y cercar las dependencias.
Según el documentación de seguridad de la dependencia de suministro de software 2025 de ReversingLabs, 14 de las 23 campañas maliciosas relacionadas con la criptografía en 2024 dirigidas a NPM, con el resto vinculado a PYPI.
“Lo que estamos viendo se desarrolla con los paquetes NPM Chalk y la depuración es una instancia desafortunadamente global hoy en la dependencia de suministro de software”, dijo Ilkka Turunen, CTO de campo de Sonatype, a The Hacker News.
“La carga útil maliciosa se centró en el robo de criptografía, pero esta adquisición sigue un ataque clásico que ahora está establecido: al hacerse cargo de los populares paquetes de código libre, los adversarios pueden robar secretos, dejar a espaldas y organizaciones de infiltrado”.
“No era una opción aleatoria apuntar al desarrollador de estos paquetes. Las adquisiciones de paquetes ahora son una táctica en serie para grupos de amenazas persistentes avanzados como Lázaro, porque saben que pueden alcanzar una gran cantidad de la población de desarrolladores del mundo al infiltrarse en un solo plan de bienes poco bienes”.
