Malware en paquetes npm y PyPI: ataques sofisticados a la cadena de suministro

Expertos en ciberseguridad de SafeDep y Veracode han identificado varios paquetes npm maliciosos diseñados para ejecución remota de código (RCE) y descarga de cargas útiles adicionales. Estos paquetes fueron eliminados del repositorio npm tras cientos de descargas.

Paquetes npm infectados

• eslint-config-airbnb-compat (676 descargas)
• ts-runtime-compat-check (1 588 descargas)
• solders (983 descargas)
• @mediawave/lib (386 descargas)

Aunque los paquetes ya se eliminaron, existe riesgo para desarrolladores que los hayan instalado recientemente.

Detalles técnicos: RCE multi-etapa
SafeDep detectó que eslint-config-airbnb-compat incluye ts-runtime-compat-check como dependencia. Esta se conecta a proxy.eslint-proxy[.]site para descargar y ejecutar cadenas codificadas en Base64. El investigador Kunal Singh advierte:

Citar"Implementa un ataque de ejecución remota de código de múltiples etapas utilizando una dependencia transitiva para ocultar el código malicioso."

Por otro lado, Veracode identificó que el paquete solders incorpora un script post‑install que ejecuta código malicioso al instalarse. El análisis revela una ofuscación compleja usando caracteres Unicode japoneses, generando dinámicamente código malintencionado.

El script detecta Windows y ejecuta PowerShell para descargar una segunda etapa desde firewall[.]tel, que luego configura exclusiones en Windows Defender. Posteriormente, un batch descarga una DLL .NET oculta como imagen PNG desde i.ibb[.]co. Esta DLL extrae datos de la imagen y carga en memoria una variante de Pulsar RAT—a través de manipulación sofisticada del scheduler y UAC (FodHelper.exe). Veracode concluye que:

Citar"Desde una pared de caracteres japoneses hasta una RAT oculta dentro de los píxeles de un archivo PNG, el atacante hizo todo lo posible para ocultar su carga útil..."

Malware criptográfico en npm: credenciales, cryptojacking y clippers

El informe de Socket revela amenazas específicas para el ecosistema Web3 y blockchain, incluyendo:

• express-dompurify, pumptoolforvolumeandcomment: robadores de credenciales y claves de billetera.
• BS58JS: drena fondos de criptobilleteras via transferencias encadenadas.
• lsjglsjdv, asyncaiosignal, raydium-sdk-liquidity-init: clippers que sustituyen direcciones copiadas con las controladas por atacantes.

El investigador Kirill Boychenko resalta que:

Citar"Los actores de amenazas motivados financieramente y los grupos patrocinados por el estado están evolucionando sus tácticas para explotar las debilidades sistémicas en la cadena de suministro de software."

El riesgo del slopsquatting y la IA en el desarrollo

La adopción de codificación asistida por IA ha dado paso al slopsquatting, donde los LLM "alucinan" nombres de dependencias que pueden ser tomados por atacantes. Trend Micro detectó un ejemplo:

Paquete de prueba starlette-reverse-proxy en Python, creado para causar un error de "módulo no encontrado". Un atacante podría subir ese nombre y explotar la confianza del desarrollador. Según Sean Park:

Citar"Si un adversario sube un paquete con el mismo nombre en el repositorio, puede tener graves consecuencias de seguridad."

Aunque herramientas como Claude Code CLI e OpenAI Codex CLI reducen las sugerencias fantasmas, advierte que no eliminan totalmente el riesgo.

Ejercicio de red teaming en PyPI: 'chimera‑sandbox‑extensions'

En PyPI se publicó el paquete chimera-sandbox-extensions, con 143 descargas, apuntando a usuarios de Chimera Sandbox. Investigadores de JFrog detectaron que el paquete robaba credenciales, variables CI/CD, tokens AWS, configuración JAMF y más, mediante un DGA (dominio generado dinámicamente).

CitarSegún Guy Korolevski de JFrog:

"El enfoque dirigido empleado por este malware... lo distingue de las amenazas de malware de código abierto más genéricas..."

Tras comunicarse con Grab, la empresa confirmó que se trataba de un ejercicio interno de red teaming, sin intención maliciosa ni ejecución fuera de sistemas controlados.

Fortalece tu cadena de suministro de código

• Audita dependencias npm/PyPI con herramientas como npm-audit y pip-audit.
• Evita paquetes ofuscados o con nombres sospechosos; verifica reputación y descargas.
• Monitoriza vínculos en tiempo de instalación (post‑install).
• Limita permisos en scripts de instalación, especialmente PowerShell en Windows.
• Adopta mecanismos anti-slopsquatting: validaciones manuales y bloqueos de nombres fantasiosos.
• Ejercicios de red teaming controlado, como el caso de chimera-sandbox-extensions, son útiles, atendiendo la comunicación responsable.

La seguridad en la cadena de suministro de software es clave: revisa dependencias, emplea escáneres, controla scripts de instalación y mantente alerta ante amenazas avanzadas de la comunidad open‑source.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta