Redazione RHC : 15 octubre 2025 07:19
Los atacantes están abusando de la infraestructura legítima de npm en una nueva campaña de phishing en Beamglea. En esta ocasión, los paquetes maliciosos no ejecutan código malicioso, sino que explotan el servicio CDN legítimo unpkg[.]com para mostrar a los usuarios páginas de phishing.
A finales de septiembre, los investigadores de seguridad de Safety identificaron 120 paquetes npm utilizados en este tipo de ataques, pero ahora su número ha superado los 175 , según informa la empresa de seguridad Socket.
Estos paquetes están diseñados para atacar a más de 135 organizaciones de los sectores energético, industrial y tecnológico. Entre los objetivos se incluyen Algodue, ArcelorMittal, Demag Cranes, D-Link, H2 Systems, Moxa, Piusi, Renishaw, Sasol, Stratasys y ThyssenKrupp Nucera. Los ataques se centran principalmente en países de Europa Occidental, pero también hay objetivos en el norte de Europa y la región Asia-Pacífico.
En total, los paquetes se han descargado más de 26.000 veces, aunque se cree que algunas de las descargas proceden de investigadores de ciberseguridad, escáneres automatizados y herramientas de análisis.
Los nombres de los paquetes contienen cadenas aleatorias de seis caracteres y siguen el patrón «redirect-[a-z0-9]{6}». Una vez publicados en npm, los paquetes están disponibles a través de los enlaces HTTPS de la CDN unpkg[.]com.
Los atacantes pueden distribuir archivos HTML camuflados como órdenes de compra y documentos de proyectos a usuarios específicos. Si bien el método exacto de distribución no está claro, los temas de los documentos comerciales y la personalización para víctimas específicas sugieren la distribución mediante archivos adjuntos de correo electrónico o enlaces de phishing, señala Socket.
Una vez que la víctima abre el archivo HTML malicioso, el código JavaScript malicioso del paquete npm se carga en el navegador a través del CDN unpkg[.]com, y la víctima es redirigida a una página de phishing donde se le solicita que ingrese sus credenciales.
También se observó a los atacantes usando un kit de herramientas de Python para automatizar la campaña: el proceso verifica si la víctima ha iniciado sesión, solicita sus credenciales, inserta un correo electrónico de phishing y un enlace en una plantilla de JavaScript (beamglea_template.js), genera un archivo package.json , lo aloja como un paquete público y crea un archivo HTML con un enlace al paquete npm a través del CDN unpkg[.]com.
“Esta automatización permitió a los atacantes crear 175 paquetes únicos dirigidos a diferentes organizaciones sin tener que atacar manualmente a cada víctima”, señaló Socket.
Según los investigadores, los atacantes generaron más de 630 archivos HTML que conducían a paquetes maliciosos, todos con el ID de campaña nb830r6x en la metaetiqueta. Los archivos simulaban órdenes de compra, especificaciones técnicas y documentación de diseño.
Cuando las víctimas abren archivos HTML en su navegador, JavaScript las redirige inmediatamente al dominio de phishing, pasando su dirección de correo electrónico mediante un fragmento de URL. La página de phishing completa automáticamente el campo de dirección de correo electrónico, creando la impresión convincente de que la víctima está accediendo a un portal legítimo que ya la ha reconocido, afirman los expertos.
Según los investigadores de Snyk , otros paquetes npm que utilizan el esquema de nombres “mad-*” muestran un comportamiento similar, aunque todavía no se han vinculado directamente con la campaña Beamglea.
«El paquete contiene una página falsa de ‘Comprobación de seguridad de Cloudflare’ que redirige secretamente a los usuarios a una URL controlada por el atacante extraída de un archivo remoto alojado en GitHub», dijo Snyk.
RedazioneEl 29 de octubre, Microsoft publicó un fondo de pantalla para conmemorar el undécimo aniversario del programa Windows Insider , y se especula que fue creado utilizando macOS. Recordemos que Windows ...
Los ladrones entraron por una ventana del segundo piso del Museo del Louvre, pero el museo tenía problemas que iban más allá de las ventanas sin asegurar, según un informe de auditoría de ciberse...
Reuters informó que Trump declaró a la prensa durante una entrevista pregrabada para el programa «60 Minutes» de CBS y a bordo del Air Force One durante el vuelo de regreso: «No vamos a permitir ...
Un informe de FortiGuard correspondiente al primer semestre de 2025 muestra que los atacantes motivados por intereses económicos están evitando cada vez más las vulnerabilidades y el malware sofist...
La primera computadora cuántica atómica de China ha alcanzado un importante hito comercial al registrar sus primeras ventas a clientes nacionales e internacionales, según medios estatales. El Hubei...
