Una nueva campaña de phishing en NPM involucra 175 paquetes maliciosos.

Redazione RHC : 15 octubre 2025 07:19

Los atacantes están abusando de la infraestructura legítima de npm en una nueva campaña de phishing en Beamglea. En esta ocasión, los paquetes maliciosos no ejecutan código malicioso, sino que explotan el servicio CDN legítimo unpkg[.]com para mostrar a los usuarios páginas de phishing.

A finales de septiembre, los investigadores de seguridad de Safety identificaron 120 paquetes npm utilizados en este tipo de ataques, pero ahora su número ha superado los 175 , según informa la empresa de seguridad Socket.

Estos paquetes están diseñados para atacar a más de 135 organizaciones de los sectores energético, industrial y tecnológico. Entre los objetivos se incluyen Algodue, ArcelorMittal, Demag Cranes, D-Link, H2 Systems, Moxa, Piusi, Renishaw, Sasol, Stratasys y ThyssenKrupp Nucera. Los ataques se centran principalmente en países de Europa Occidental, pero también hay objetivos en el norte de Europa y la región Asia-Pacífico.

En total, los paquetes se han descargado más de 26.000 veces, aunque se cree que algunas de las descargas proceden de investigadores de ciberseguridad, escáneres automatizados y herramientas de análisis.

Los nombres de los paquetes contienen cadenas aleatorias de seis caracteres y siguen el patrón «redirect-[a-z0-9]{6}». Una vez publicados en npm, los paquetes están disponibles a través de los enlaces HTTPS de la CDN unpkg[.]com.

Los atacantes pueden distribuir archivos HTML camuflados como órdenes de compra y documentos de proyectos a usuarios específicos. Si bien el método exacto de distribución no está claro, los temas de los documentos comerciales y la personalización para víctimas específicas sugieren la distribución mediante archivos adjuntos de correo electrónico o enlaces de phishing, señala Socket.

Una vez que la víctima abre el archivo HTML malicioso, el código JavaScript malicioso del paquete npm se carga en el navegador a través del CDN unpkg[.]com, y la víctima es redirigida a una página de phishing donde se le solicita que ingrese sus credenciales.

También se observó a los atacantes usando un kit de herramientas de Python para automatizar la campaña: el proceso verifica si la víctima ha iniciado sesión, solicita sus credenciales, inserta un correo electrónico de phishing y un enlace en una plantilla de JavaScript (beamglea_template.js), genera un archivo package.json , lo aloja como un paquete público y crea un archivo HTML con un enlace al paquete npm a través del CDN unpkg[.]com.

“Esta automatización permitió a los atacantes crear 175 paquetes únicos dirigidos a diferentes organizaciones sin tener que atacar manualmente a cada víctima”, señaló Socket.

Según los investigadores, los atacantes generaron más de 630 archivos HTML que conducían a paquetes maliciosos, todos con el ID de campaña nb830r6x en la metaetiqueta. Los archivos simulaban órdenes de compra, especificaciones técnicas y documentación de diseño.

Cuando las víctimas abren archivos HTML en su navegador, JavaScript las redirige inmediatamente al dominio de phishing, pasando su dirección de correo electrónico mediante un fragmento de URL. La página de phishing completa automáticamente el campo de dirección de correo electrónico, creando la impresión convincente de que la víctima está accediendo a un portal legítimo que ya la ha reconocido, afirman los expertos.

Según los investigadores de Snyk , otros paquetes npm que utilizan el esquema de nombres “mad-*” muestran un comportamiento similar, aunque todavía no se han vinculado directamente con la campaña Beamglea.

«El paquete contiene una página falsa de ‘Comprobación de seguridad de Cloudflare’ que redirige secretamente a los usuarios a una URL controlada por el atacante extraída de un archivo remoto alojado en GitHub», dijo Snyk.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli