Los investigadores de ciberseguridad han alertado un ataque de la sujeción de suministro que se ha dirigido a los paquetes populares de NPM a través de una campaña de phishing diseñada para robar los tokens NPM de los mantenedores del plan.
Los tokens capturados se utilizaron para transmitir versiones maliciosas de los paquetes directamente al registro sin ningún código fuente que se comprometa o retire las solicitudes en sus respectivos repositorios de GitHub.
La repertorio de paquetes afectados y sus versiones deshonestas, según Socket, se enumera a continuación –
- Eslint-Config-Prettier (versiones 8.10.1, 9.1.1, 10.1.6 y 10.1.7)
- Eslint-Plugin-Prettier (versiones 4.2.2 y 4.2.3)
- SyncKit (traducción 0.11.9)
- @PKGR/Core (traducción 0.2.8)
- Napi-Postinstall (traducción 0.3.1)
“El código inyectado intentó ejecutar una DLL en las máquinas de Windows, lo que podría permitir la ejecución del código remoto”, dijo la firma de seguridad de la sujeción de suministro de software.
El explicación viene posteriormente de una campaña de phishing que se ha incompatible que envía mensajes de correo electrónico que se hace sobrevenir por NPM para engañar a los mantenedores de proyectos para hacer clic en un enlace tipográfico (“npnjs (.) Com”, en motivo de “npmjs (.) Com”) que cosechó sus credenciales.
Las misivas digitales, con la andana de asunto “Verifique su dirección de correo electrónico”, falsificó una dirección de correo electrónico legítima asociada con NPM (“Soporte@npmjs (.) Org”), instando a los destinatarios a validar su dirección de correo electrónico haciendo clic en el enlace integrado.
La página de destino falsa a la que se redirigen a las víctimas, por enchufe, es un clon de la legítima página de inicio de sesión de NPM que está diseñada para capturar su información de inicio de sesión.
Se recomienda a los desarrolladores que usan los paquetes afectados que verifiquen las versiones instaladas y vuelvan a revertir a una traducción segura. Se recomienda a los mantenedores de proyectos que activen la autenticación de dos factores para consolidar sus cuentas y usen tokens de calibre en motivo de contraseñas para transmitir paquetes.
“Este incidente muestra qué tan rápido los ataques de phishing contra los mantenedores pueden aumentar a las amenazas de todo el ecosistema”, dijo Socket.
Los hallazgos coinciden con una campaña no relacionada que ha inundado NPM con 28 paquetes que contienen funcionalidad de protestware que puede deshabilitar la interacción basada en ratones en sitios web con un dominio ruso o bielorruso. Igualmente están diseñados para esparcirse el himno doméstico ucraniano en un caracolillo.
Sin incautación, el ataque solo funciona cuando el visitante del sitio tiene la configuración de verbo de su navegador establecida en ruso y, en algunos casos, el mismo sitio web se visitante por segunda vez, asegurando así que solo los visitantes repetidos sean atacados. La actividad marca una expansión de una campaña que se marcó por primera vez el mes pasado.
“Este protestware subraya que las acciones tomadas por los desarrolladores pueden propagar desapercibidos en las dependencias anidadas y pueden tardar días o semanas en manifestarse”, dijo la investigadora de seguridad Olivia Brown.
Arch Linux elimina 3 paquetes AUR que instalaron malware de rata de caos
Igualmente se produce cuando el equipo de Arch Linux dijo que ha sacado tres paquetes AUR maliciosos que se cargaron al Repositorio de beneficiario de Arch (AUR) y que ha albergado la funcionalidad oculta para instalar un troyano de ataque remoto llamado Rata de Caos desde un repositorio de GitHub ahora ahora recuperado.
Los paquetes afectados son: “Librewolf-Fix-Bin”, “Firefox-Patch-bin” y “Zen-Browser-Bin-Bin”. Fueron publicados por un beneficiario llamado “Danikpapas” el 16 de julio de 2025.
“Estos paquetes estaban instalando un script proveniente del mismo repositorio de GitHub que se identificó como un troyano de ataque remoto (rata)”, dijeron los mantenedores. “Alentamos insistentemente a los usuarios que pueden ocurrir instalado uno de estos paquetes para eliminarlos de su sistema y tomar las medidas necesarias para avalar que no se vieran comprometidos”.
