Redazione RHC : 28 julio 2025 11:24
La vulneración de una biblioteca de JavaScript ampliamente utilizada ha puesto en riesgo millones de proyectos en todo el mundo. El paquete en cuestión ha sido un componente fundamental, aunque desapercibido, del ecosistema Node.js durante años. Precisamente esta utilidad ligera para la comprobación de tipos y la validación de valores se ha convertido en la última víctima de un ataque a la cadena de suministro, y esta vez las consecuencias son particularmente devastadoras.
El incidente comenzó con una campaña de phishing en la que los atacantes robaron las credenciales de los desarrolladores para publicar paquetes en NPM. Tras obtener acceso, cambiaron silenciosamente la propiedad del proyecto y lanzaron versiones maliciosas de la biblioteca, de la 3.3.1 a la 5.0.0. Según John Harband, el principal responsable… Durante el mantenimiento, las compilaciones infectadas permanecieron disponibles públicamente durante aproximadamente seis horas, tiempo durante el cual miles de desarrolladores podrían haberlas descargado.
La escala de la distribución es particularmente alarmante: «is» se utiliza en una amplia gama de proyectos, desde sistemas de compilación y herramientas CLI hasta bibliotecas de prueba. Según NPM, el paquete se descarga más de 2,8 millones de veces a la semana. Las actualizaciones automáticas y la ausencia de bloqueos de versiones (archivos de bloqueo) aumentaron significativamente las probabilidades de infección de los proyectos finales, especialmente en ecosistemas grandes.
El análisis de Socket demostró que el código malicioso en «is» era un cargador de JavaScript genérico. Este inició una conexión inversa de WebSocket, recopiló datos del sistema (nombre de host, tipo de sistema operativo, arquitectura de CPU y todas las variables de entorno) y los envió a través de una biblioteca ws importada dinámicamente. Cada mensaje que llegaba a través del socket se ejecutaba como código JavaScript, lo que permitía al atacante acceder remotamente al dispositivo.
Al mismo tiempo, otros paquetes pirateados de la misma campaña distribuían un malware para Windows llamado Scavanger. Este spyware recopilaba contraseñas guardadas por los navegadores y mantenía una comunicación secreta con el servidor de comando y control. Sus técnicas de evasión incluían el uso de llamadas indirectas al sistema y canales C2 cifrados. Sin embargo, en algunos casos, Scavanger podía generar advertencias de Chrome debido a intentos de manipular sus indicadores de seguridad.
La lista de paquetes afectados, además de «is», incluye: eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall y got-fetch. Todos recibieron actualizaciones maliciosas entre el 18 y el 19 de julio de 2025, lo que indica un ataque coordinado con un script prefabricado. El eje central de la campaña de phishing fue el dominio ficticio npnjs[.]com, que los atacantes utilizaron para engañar a desarrolladores legítimos y obtener credenciales de inicio de sesión y tokens.
Los expertos advierten que el ataque podría no limitarse a casos ya conocidos: es probable que los atacantes hayan obtenido acceso a credenciales adicionales y pronto comiencen a distribuir nuevas compilaciones maliciosas. Se recomienda encarecidamente a los desarrolladores que restablezcan inmediatamente sus contraseñas y tokens, desactiven las actualizaciones automáticas de dependencias, utilicen archivos de bloqueo y congelen temporalmente las versiones de todas las bibliotecas publicadas después del 18 de julio.
El incidente «is» demuestra aún más la fragilidad del modelo de confianza que sustenta todo el ecosistema de código abierto. Un solo paquete no detectado puede abrir una puerta trasera en miles de sistemas empresariales y de consumo, y nadie lo notará hasta que sea demasiado tarde.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
