Los investigadores de ciberseguridad han revelado detalles de lo que se ha descrito como una campaña de phishing “sostenida y dirigida” que ha publicado más de dos docenas de paquetes en el registro npm para allanar el robo de credenciales.
La actividad, que implicó cargar 27 paquetes npm de seis mote diferentes de npm, se ha dirigido principalmente al personal comercial y de ventas de organizaciones adyacentes a infraestructura crítica en los EE. UU. y las naciones aliadas, según Socket.
“Una operación de cinco meses convirtió paquetes de 27 npm en alojamiento duradero para señuelos ejecutados por navegadores que imitan los portales de intercambio de documentos y el inicio de sesión de Microsoft, apuntando a 25 organizaciones de manufactura, automatización industrial, plásticos y atención médica para el robo de credenciales”, dijeron los investigadores Nicholas Anderson y Kirill Boychenko.
Los nombres de los paquetes se enumeran a continuación:
- adril7123
- ardril712
- arrdril712
- androidvoues
- activoslush
- axerificación
- erificación
- certificación
- errificación
- eruificación
- hgfiuythdjfhgff
- homiersla
- houimlogs22
- iuythdjfghgff
- iuythdjfhgff
- iuythdjfhgffdf
- iuythdjfhgffs
- iuythdjfhgffyg
- jwoiesk11
- módulos9382
- verificación-onedrive
- sarrdril712
- scriptstierium11
- aplicación-docs-segura
- sincronización365
- tetrificación
- vampuleerl
En ocupación de exigir a los usuarios que instalen los paquetes, el objetivo final de la campaña es reutilizar npm y empaquetar redes de entrega de contenido (CDN) como infraestructura de alojamiento, utilizándolos para ofrecer HTML y JavaScript del costado del cliente que simulan el intercambio seguro de documentos y que están integrados directamente en páginas de phishing, posteriormente de lo cual las víctimas son redirigidas a páginas de inicio de sesión de Microsoft con la dirección de correo electrónico precompletada en el formulario.
El uso de paquetes CDN ofrece varios beneficios, el más importante es la capacidad de convertir un servicio de distribución genuino en una infraestructura resistente a las eliminaciones. Por otra parte, facilita a los atacantes cambiar a otros mote de editores y nombres de paquetes, incluso si se extraen las bibliotecas.
Se ha descubierto que los paquetes incorporan varias comprobaciones en el costado del cliente para desafiar los esfuerzos de observación, incluido el filtrado de bots, evadiendo zonas de pruebas y requiriendo entrada táctil o del mouse ayer de arrostrar a las víctimas a una infraestructura de casa recoleta de credenciales controlada por actores de amenazas. El código JavaScript incluso está ofuscado o muy minimizado para dificultar la inspección automatizada.
Otro control antianálisis crucial prohijado por el actor de amenazas se relaciona con el uso de campos de formulario de honeypot que están ocultos a la sagacidad de los usuarios reales, pero que probablemente estén poblados por rastreadores. Este paso actúa como una segunda capa de defensa, evitando que el ataque avance.
Socket dijo que los dominios incluidos en estos paquetes se superponen con la infraestructura de phishing de adversario en el medio (AitM) asociada con Evilginx, un kit de phishing de código campechano.
Esta no es la primera vez que npm se transforma en infraestructura de phishing. En octubre de 2025, la empresa de seguridad de la prisión de suministro de software detalló una campaña denominada Beamglea en la que actores de amenazas desconocidos cargaron 175 paquetes maliciosos para ataques de casa recoleta de credenciales. Se considera que la última ola de ataques es distinta de Beamglea.
“Esta campaña sigue el mismo manual cardinal, pero con diferentes mecanismos de entrega”, dijo Socket. “En ocupación de remitir scripts de redireccionamiento mínimos, estos paquetes ofrecen un flujo de phishing autónomo ejecutado por el navegador como un paquete HTML y JavaScript integrado que se ejecuta cuando se carga en el contexto de una página”.
Es más, se ha descubierto que los paquetes de phishing codifican 25 direcciones de correo electrónico vinculadas a personas específicas que trabajan en gerentes de cuentas, representantes de ventas y crecimiento comercial en manufactura, automatización industrial, cadenas de suministro de plásticos y polímeros y sectores de atención médica en Austria, Bélgica, Canadá, Francia, Alemania, Italia, Portugal, España, Suecia, Taiwán, Turquía, el Reino Unido y Estados Unidos.
Actualmente se desconoce cómo los atacantes obtuvieron las direcciones de correo electrónico. Pero cubo que muchas de las empresas objetivo se reúnen en importantes ferias comerciales internacionales, como Interpack y K-Fair, se sospecha que los actores de la amenaza pueden ocurrir extraído la información de estos sitios y la hayan combinado con un inspección caudillo de la web abierta.
“En varios casos, las ubicaciones de los objetivos difieren de las oficinas centrales corporativas, lo que es consistente con el enfoque del actor de amenazas en el personal de ventas regional, los gerentes nacionales y los equipos comerciales locales en ocupación de solo en la TI corporativa”, dijo la compañía.
Para contrarrestar el aventura que plantea la amenaza, es esencial aplicar una estricta comprobación de dependencia, registrar solicitudes CDN inusuales de contextos que no sean de crecimiento, aplicar la autenticación multifactor (MFA) resistente al phishing y monitorear eventos sospechosos posteriores a la autenticación.
El crecimiento se produce cuando Socket dijo que observó un aumento constante de malware destructivo en npm, PyPI, NuGet Gallery y los índices de módulos Go utilizando técnicas como ejecución retrasada y interruptores de triste controlados remotamente para eludir la detección temprana y recuperar código ejecutable en tiempo de ejecución utilizando herramientas unificado como wget y curl.
“En ocupación de apresurar discos o destruir archivos indiscriminadamente, estos paquetes tienden a efectuar quirúrgicamente”, dijo el investigador Kush Pandya.
“Eliminan sólo lo que importa a los desarrolladores: repositorios Git, directorios de origen, archivos de configuración y resultados de compilación de CI. A menudo combinan esta dialéctica en rutas de código que de otro modo serían funcionales y dependen de ganchos de ciclo de vida unificado para su ejecución, lo que significa que es posible que la aplicación misma nunca necesite importar o invocar explícitamente el malware”.
