Se subieron 100 paquetes Infostealer a NPM utilizando alucinaciones de IA

Redazione RHC : 30 octubre 2025 15:45

Desde agosto de 2024, la campaña PhantomRaven ha subido 126 paquetes maliciosos a npm, los cuales se han descargado más de 86 000 veces . La campaña fue descubierta por Koi Security, que informó que los ataques se posibilitaron gracias a una función poco conocida de npm que permite eludir la protección y la detección.

Cabe destacar que, al momento de la publicación del informe , aún había aproximadamente 80 paquetes maliciosos activos . Los expertos explican que los atacantes están explotando el mecanismo de Dependencias Dinámicas Remotas (RDD) .

Normalmente, un desarrollador ve todas las dependencias de un paquete durante la instalación, descargadas de la infraestructura NPM de confianza. Sin embargo, RDD permite que los paquetes obtengan automáticamente código de URLs externas, incluso a través de un canal HTTP no cifrado. Mientras tanto, el manifiesto del paquete no muestra ninguna dependencia.

Cuando un desarrollador ejecuta `npm install`, el paquete malicioso descarga silenciosamente un código malicioso desde un servidor controlado por el atacante y lo ejecuta inmediatamente . No se requiere interacción del usuario y las herramientas de análisis estático no detectan la actividad.

«PhantomRaven demuestra la sofisticación que pueden alcanzar los atacantes al explotar los puntos ciegos de las soluciones de seguridad tradicionales. Las dependencias dinámicas remotas son simplemente invisibles para el análisis estático», afirman los investigadores.

Tenga en cuenta que el malware se descarga del servidor cada vez que se instala el paquete, en lugar de almacenarse en caché.

Esto abre la puerta a ataques dirigidos: los atacantes pueden controlar la dirección IP de la solicitud y enviar código inofensivo a investigadores de seguridad, desplegar código malicioso en redes corporativas y desplegar cargas útiles especializadas para entornos en la nube.

Una vez infectado, el malware recopila cuidadosamente información sobre el sistema de la víctima:

• Variables de entorno con configuraciones de los sistemas internos del desarrollador;
• tokens y credenciales para npm, GitHub Actions, GitLab, Jenkins y CircleCI;
• Todo el entorno CI/CD por el que pasan los cambios de código realizados por diferentes desarrolladores.

Los tokens robados pueden utilizarse para atacar cadenas de suministro e inyectar código malicioso en proyectos legítimos . El robo de datos se organiza de forma redundante, utilizando tres métodos: HTTP GET con datos en la URL, HTTP POST con JSON y conexiones WebSocket.

Los expertos escriben que muchos paquetes maliciosos se disfrazan de herramientas de GitLab y Apache.

El slopsquatting, o la explotación de las alucinaciones de la IA, desempeña un papel fundamental en esta campaña . Los desarrolladores suelen consultar a los asistentes de LLM sobre qué paquetes son los más adecuados para un proyecto concreto. Los modelos de IA a menudo inventan nombres inexistentes pero plausibles. Los operadores de PhantomRaven rastrean estas alucinaciones y registran paquetes con dichos nombres. Finalmente, las víctimas instalan el malware por sí mismas, siguiendo las recomendaciones de LLM.

Los desarrolladores de LLM aún no comprenden las causas exactas de estas alucinaciones ni son capaces de crear modelos para prevenirlas, lo cual es precisamente lo que los atacantes están aprovechando. Los investigadores recomiendan no confiar en LLM al elegir dependencias y verificar cuidadosamente los nombres y las fuentes de los paquetes, instalando únicamente paquetes de proveedores de confianza.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli