Redazione RHC : 28 julio 2025 11:24
La vulneración de una biblioteca de JavaScript ampliamente utilizada ha puesto en riesgo millones de proyectos en todo el mundo. El paquete en cuestión ha sido un componente fundamental, aunque desapercibido, del ecosistema Node.js durante años. Precisamente esta utilidad ligera para la comprobación de tipos y la validación de valores se ha convertido en la última víctima de un ataque a la cadena de suministro, y esta vez las consecuencias son particularmente devastadoras.
El incidente comenzó con una campaña de phishing en la que los atacantes robaron las credenciales de los desarrolladores para publicar paquetes en NPM. Tras obtener acceso, cambiaron silenciosamente la propiedad del proyecto y lanzaron versiones maliciosas de la biblioteca, de la 3.3.1 a la 5.0.0. Según John Harband, el principal responsable… Durante el mantenimiento, las compilaciones infectadas permanecieron disponibles públicamente durante aproximadamente seis horas, tiempo durante el cual miles de desarrolladores podrían haberlas descargado.
La escala de la distribución es particularmente alarmante: «is» se utiliza en una amplia gama de proyectos, desde sistemas de compilación y herramientas CLI hasta bibliotecas de prueba. Según NPM, el paquete se descarga más de 2,8 millones de veces a la semana. Las actualizaciones automáticas y la ausencia de bloqueos de versiones (archivos de bloqueo) aumentaron significativamente las probabilidades de infección de los proyectos finales, especialmente en ecosistemas grandes.
El análisis de Socket demostró que el código malicioso en «is» era un cargador de JavaScript genérico. Este inició una conexión inversa de WebSocket, recopiló datos del sistema (nombre de host, tipo de sistema operativo, arquitectura de CPU y todas las variables de entorno) y los envió a través de una biblioteca ws importada dinámicamente. Cada mensaje que llegaba a través del socket se ejecutaba como código JavaScript, lo que permitía al atacante acceder remotamente al dispositivo.
Al mismo tiempo, otros paquetes pirateados de la misma campaña distribuían un malware para Windows llamado Scavanger. Este spyware recopilaba contraseñas guardadas por los navegadores y mantenía una comunicación secreta con el servidor de comando y control. Sus técnicas de evasión incluían el uso de llamadas indirectas al sistema y canales C2 cifrados. Sin embargo, en algunos casos, Scavanger podía generar advertencias de Chrome debido a intentos de manipular sus indicadores de seguridad.
La lista de paquetes afectados, además de «is», incluye: eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall y got-fetch. Todos recibieron actualizaciones maliciosas entre el 18 y el 19 de julio de 2025, lo que indica un ataque coordinado con un script prefabricado. El eje central de la campaña de phishing fue el dominio ficticio npnjs[.]com, que los atacantes utilizaron para engañar a desarrolladores legítimos y obtener credenciales de inicio de sesión y tokens.
Los expertos advierten que el ataque podría no limitarse a casos ya conocidos: es probable que los atacantes hayan obtenido acceso a credenciales adicionales y pronto comiencen a distribuir nuevas compilaciones maliciosas. Se recomienda encarecidamente a los desarrolladores que restablezcan inmediatamente sus contraseñas y tokens, desactiven las actualizaciones automáticas de dependencias, utilicen archivos de bloqueo y congelen temporalmente las versiones de todas las bibliotecas publicadas después del 18 de julio.
El incidente «is» demuestra aún más la fragilidad del modelo de confianza que sustenta todo el ecosistema de código abierto. Un solo paquete no detectado puede abrir una puerta trasera en miles de sistemas empresariales y de consumo, y nadie lo notará hasta que sea demasiado tarde.
RedazioneEl 21 de octubre de 2025, un equipo internacional de investigadores de 29 instituciones líderes, incluidas la Universidad de Stanford, el MIT y la Universidad de California en Berkeley, completó un ...
OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...
El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...
La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...
El 20 de octubre de 2025 marca un aniversario significativo en la historia de la informática: el procesador Intel 80386 , también conocido como i386 , celebra su 40.º aniversario . ¡Y es un cumple...
