Redazione RHC : 28 julio 2025 11:24
La vulneración de una biblioteca de JavaScript ampliamente utilizada ha puesto en riesgo millones de proyectos en todo el mundo. El paquete en cuestión ha sido un componente fundamental, aunque desapercibido, del ecosistema Node.js durante años. Precisamente esta utilidad ligera para la comprobación de tipos y la validación de valores se ha convertido en la última víctima de un ataque a la cadena de suministro, y esta vez las consecuencias son particularmente devastadoras.
El incidente comenzó con una campaña de phishing en la que los atacantes robaron las credenciales de los desarrolladores para publicar paquetes en NPM. Tras obtener acceso, cambiaron silenciosamente la propiedad del proyecto y lanzaron versiones maliciosas de la biblioteca, de la 3.3.1 a la 5.0.0. Según John Harband, el principal responsable… Durante el mantenimiento, las compilaciones infectadas permanecieron disponibles públicamente durante aproximadamente seis horas, tiempo durante el cual miles de desarrolladores podrían haberlas descargado.
La escala de la distribución es particularmente alarmante: «is» se utiliza en una amplia gama de proyectos, desde sistemas de compilación y herramientas CLI hasta bibliotecas de prueba. Según NPM, el paquete se descarga más de 2,8 millones de veces a la semana. Las actualizaciones automáticas y la ausencia de bloqueos de versiones (archivos de bloqueo) aumentaron significativamente las probabilidades de infección de los proyectos finales, especialmente en ecosistemas grandes.
El análisis de Socket demostró que el código malicioso en «is» era un cargador de JavaScript genérico. Este inició una conexión inversa de WebSocket, recopiló datos del sistema (nombre de host, tipo de sistema operativo, arquitectura de CPU y todas las variables de entorno) y los envió a través de una biblioteca ws importada dinámicamente. Cada mensaje que llegaba a través del socket se ejecutaba como código JavaScript, lo que permitía al atacante acceder remotamente al dispositivo.
Al mismo tiempo, otros paquetes pirateados de la misma campaña distribuían un malware para Windows llamado Scavanger. Este spyware recopilaba contraseñas guardadas por los navegadores y mantenía una comunicación secreta con el servidor de comando y control. Sus técnicas de evasión incluían el uso de llamadas indirectas al sistema y canales C2 cifrados. Sin embargo, en algunos casos, Scavanger podía generar advertencias de Chrome debido a intentos de manipular sus indicadores de seguridad.
La lista de paquetes afectados, además de «is», incluye: eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall y got-fetch. Todos recibieron actualizaciones maliciosas entre el 18 y el 19 de julio de 2025, lo que indica un ataque coordinado con un script prefabricado. El eje central de la campaña de phishing fue el dominio ficticio npnjs[.]com, que los atacantes utilizaron para engañar a desarrolladores legítimos y obtener credenciales de inicio de sesión y tokens.
Los expertos advierten que el ataque podría no limitarse a casos ya conocidos: es probable que los atacantes hayan obtenido acceso a credenciales adicionales y pronto comiencen a distribuir nuevas compilaciones maliciosas. Se recomienda encarecidamente a los desarrolladores que restablezcan inmediatamente sus contraseñas y tokens, desactiven las actualizaciones automáticas de dependencias, utilicen archivos de bloqueo y congelen temporalmente las versiones de todas las bibliotecas publicadas después del 18 de julio.
El incidente «is» demuestra aún más la fragilidad del modelo de confianza que sustenta todo el ecosistema de código abierto. Un solo paquete no detectado puede abrir una puerta trasera en miles de sistemas empresariales y de consumo, y nadie lo notará hasta que sea demasiado tarde.
RedazioneLa Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
