Schedule a Strategy Call

Paquetes npm maliciosos roban billeteras criptográficas usando registros de instalación falsos

Un ataque de cadena de suministro a gran escala Un reciente ataque a la cadena de suministro ha puesto en riesgo al ecosistema de desarrolladores que utilizan NPM, la plataforma más popular para la gestión de paquetes en JavaScript. Atacantes lograron inyectar código malicioso en múltiples librerías con más de 2.6 mil millones de descargas semanales, tras comprometer la cuenta de un mantenedor mediante un correo de phishing que imitaba al soporte oficial de npmjs.com. El mantenedor afectado, Josh Junon, confirmó el incidente y señaló que el correo fraudulento advertía que su cuenta sería bloqueada si no actualizaba su autenticación multifactor (2FA), forzando así a que ingresara credenciales en un sitio controlado por los atacantes. Paquetes afectados y alcance de la intrusión Entre los paquetes comprometidos se encuentran algunos de los más utilizados en proyectos globales: chalk (299.9M descargas semanales) debug (357.6M) ansi-styles (371.4M) strip-ansi (261.1M) supports-color (287.1M) color-convert (193.5M) Entre otros, sumando más de 18 librerías populares. Estos paquetes fueron modificados para incluir código malicioso en archivos index.js, diseñado para interceptar interacciones web y manipular operaciones relacionadas con criptomonedas como Bitcoin, Ethereum, Solana, Tron y Litecoin. El malware alteraba funciones críticas de JavaScript (fetch, XMLHttpRequest, window.ethereum) con el objetivo de redirigir transacciones a billeteras controladas por los atacantes. Cómo operaba el malware El código malicioso actuaba de forma silenciosa en el navegador, alterando tanto el contenido mostrado como las interacciones con APIs y aplicaciones web3. Esto permitía manipular direcciones de pago y aprobar transacciones fraudulentas sin que el usuario lo notara. Según Aikido Security, la complejidad del ataque radica en que operaba en múltiples capas, combinando técnicas de manipulación visual con la interceptación de tráfico de red. Impacto y limitaciones Aunque la magnitud del ataque es significativa, expertos señalan que el impacto puede haberse reducido debido a factores como: Solo afectó instalaciones nuevas realizadas entre las 9:00 y 11:30 AM ET del día del compromiso. Requería que el archivo package-lock.json fuera generado en ese mismo periodo. Dependencias directas o transitivas debían incluir versiones comprometidas. Aun así, el incidente confirma la creciente tendencia de ataques contra cadenas de suministro en el ecosistema open source, donde una sola cuenta comprometida puede afectar a millones de proyectos. Lecciones para las empresas Este ataque subraya la necesidad de fortalecer controles en la gestión de dependencias y librerías de terceros: Implementar monitoreo continuo de integridad en paquetes críticos. Adoptar políticas estrictas de actualización y validación de librerías externas. Usar repositorios privados o proxies internos para reducir exposición a cambios no controlados. Reforzar la concienciación en phishing, ya que la intrusión comenzó con un engaño de ingeniería social. Conclusión: El caso de NPM recuerda que las organizaciones deben tratar las dependencias externas con el mismo nivel de seguridad que el software interno. Un simple clic en un correo de phishing puede convertirse en un ataque global con repercusiones multimillonarias.

Los ciberdelincuentes están perfeccionando sus técnicas de engaño, esta vez apuntando directamente a los desarrolladores mediante la simulación de procesos de instalación legítimos en la terminal.

El ecosistema de código abierto enfrenta una amenaza altamente engañosa diseñada para eludir el escepticismo de los programadores experimentados. Este 24 de marzo de 2026, se reporta el descubrimiento de la “Campaña Fantasma” (Ghost campaign), una operación maliciosa basada en la publicación de siete paquetes alterados en el registro npm con el objetivo de robar billeteras de criptomonedas y credenciales de acceso.

Ingeniería Social en la Terminal

Descubierta por investigadores de seguridad, esta campaña comenzó a principios de febrero y destaca por su novedoso y sofisticado método de ocultación. Los siete paquetes maliciosos fueron publicados por un único usuario bajo el seudónimo mikilanjillo y comparten una estructura de código diseñada para sembrar confusión.

El ataque se basa en un engaño visual muy convincente durante la ejecución del administrador de paquetes:

  • El código malicioso inunda la consola del desarrollador con registros de instalación falsos (logs) que imitan perfectamente el comportamiento estándar y legítimo de npm.
  • Para darle mayor realismo, la terminal muestra mensajes sobre la descarga de supuestas dependencias (usando nombres de librerías aleatorios extraídos de una lista predefinida), barras de progreso e incluso inserta retrasos temporales para simular una conexión de red lenta o procesos de descompresión pesados.
  • En medio de esta falsa instalación, el script lanza un prompt solicitando al usuario que ingrese su contraseña de administrador (sudo), bajo la excusa de tener que corregir un supuesto error de permisos o realizar tareas críticas de optimización.
El Troyano Final

Si el desarrollador cae en la trampa de phishing e ingresa su contraseña sudo, el paquete la captura y utiliza silenciosamente esos máximos privilegios para ejecutar la fase final del ataque en segundo plano. El malware de etapa final es un Troyano de Acceso Remoto (RAT) personalizado, capaz de robar billeteras de criptomonedas, recolectar información confidencial del sistema y recibir comandos remotos desde un servidor de Comando y Control (C2).

Los investigadores sospechan que el alto nivel de reutilización de código y las técnicas observadas indican que esta campaña podría ser la prueba preliminar de una operación a gran escala dirigida a los desarrolladores del sector criptográfico. Como medida de mitigación, se insta a los equipos de desarrollo a evitar ingresar contraseñas sudo de forma instintiva durante la instalación de paquetes de terceros, verificar minuciosamente el historial de los autores en los repositorios públicos y utilizar herramientas automatizadas de validación y escaneo de seguridad en sus entornos de integración continua.

Back to all Post

Related Post