Redazione RHC : 28 julio 2025 11:24
La vulneración de una biblioteca de JavaScript ampliamente utilizada ha puesto en riesgo millones de proyectos en todo el mundo. El paquete en cuestión ha sido un componente fundamental, aunque desapercibido, del ecosistema Node.js durante años. Precisamente esta utilidad ligera para la comprobación de tipos y la validación de valores se ha convertido en la última víctima de un ataque a la cadena de suministro, y esta vez las consecuencias son particularmente devastadoras.
El incidente comenzó con una campaña de phishing en la que los atacantes robaron las credenciales de los desarrolladores para publicar paquetes en NPM. Tras obtener acceso, cambiaron silenciosamente la propiedad del proyecto y lanzaron versiones maliciosas de la biblioteca, de la 3.3.1 a la 5.0.0. Según John Harband, el principal responsable… Durante el mantenimiento, las compilaciones infectadas permanecieron disponibles públicamente durante aproximadamente seis horas, tiempo durante el cual miles de desarrolladores podrían haberlas descargado.
La escala de la distribución es particularmente alarmante: «is» se utiliza en una amplia gama de proyectos, desde sistemas de compilación y herramientas CLI hasta bibliotecas de prueba. Según NPM, el paquete se descarga más de 2,8 millones de veces a la semana. Las actualizaciones automáticas y la ausencia de bloqueos de versiones (archivos de bloqueo) aumentaron significativamente las probabilidades de infección de los proyectos finales, especialmente en ecosistemas grandes.
El análisis de Socket demostró que el código malicioso en «is» era un cargador de JavaScript genérico. Este inició una conexión inversa de WebSocket, recopiló datos del sistema (nombre de host, tipo de sistema operativo, arquitectura de CPU y todas las variables de entorno) y los envió a través de una biblioteca ws importada dinámicamente. Cada mensaje que llegaba a través del socket se ejecutaba como código JavaScript, lo que permitía al atacante acceder remotamente al dispositivo.
Al mismo tiempo, otros paquetes pirateados de la misma campaña distribuían un malware para Windows llamado Scavanger. Este spyware recopilaba contraseñas guardadas por los navegadores y mantenía una comunicación secreta con el servidor de comando y control. Sus técnicas de evasión incluían el uso de llamadas indirectas al sistema y canales C2 cifrados. Sin embargo, en algunos casos, Scavanger podía generar advertencias de Chrome debido a intentos de manipular sus indicadores de seguridad.
La lista de paquetes afectados, además de «is», incluye: eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall y got-fetch. Todos recibieron actualizaciones maliciosas entre el 18 y el 19 de julio de 2025, lo que indica un ataque coordinado con un script prefabricado. El eje central de la campaña de phishing fue el dominio ficticio npnjs[.]com, que los atacantes utilizaron para engañar a desarrolladores legítimos y obtener credenciales de inicio de sesión y tokens.
Los expertos advierten que el ataque podría no limitarse a casos ya conocidos: es probable que los atacantes hayan obtenido acceso a credenciales adicionales y pronto comiencen a distribuir nuevas compilaciones maliciosas. Se recomienda encarecidamente a los desarrolladores que restablezcan inmediatamente sus contraseñas y tokens, desactiven las actualizaciones automáticas de dependencias, utilicen archivos de bloqueo y congelen temporalmente las versiones de todas las bibliotecas publicadas después del 18 de julio.
El incidente «is» demuestra aún más la fragilidad del modelo de confianza que sustenta todo el ecosistema de código abierto. Un solo paquete no detectado puede abrir una puerta trasera en miles de sistemas empresariales y de consumo, y nadie lo notará hasta que sea demasiado tarde.
RedazioneEl grupo Scattered Spider ha intensificado sus ataques a entornos de TI corporativos, teniendo como objetivo los hipervisores VMware ESXi de empresas estadounidenses de los sectores minorista, de tran...
Si no se arranca la maleza de raíz, volverá a crecer, mucho más vigorosa que antes. Esto es ciberdelincuencia, y este es el nuevo renacimiento, ¡el quinto desde las raíces de ...
La inteligencia sobre amenazas cibernéticas (CTI) es la práctica de recopilar, analizar y utilizar información sobre amenazas cibernéticas para proteger a las organizaciones de act...
Una evaluación de vulnerabilidad es un proceso de evaluación de sistemas informáticos, redes y aplicaciones para identificar vulnerabilidades que podrían ser explotadas por atacant...
Sasha Levin, desarrollador del kernel de Linux con amplia experiencia en NVIDIA y anteriormente en Google y Microsoft, propuso añadir a la documentación del kernel reglas formales para el us...
Para más información: [email protected]
