Múltiples paquetes de NPM se han comprometido como parte de un ataque de cadena de suministro de software después de que la cuenta de un mantenedor se vio comprometida en un ataque de phishing.
El ataque apuntó a Josh Junon (también conocido como Qix), quien recibió un mensaje de correo electrónico que imitó NPM («Soporte@NPMJS[.]Ayuda «), instándolos a actualizar su actualización de sus credenciales de autenticación de dos factores (2FA) antes del 10 de septiembre de 2025, haciendo clic en el enlace integrado.
Se dice que la página de phishing impulsó al co-mantenente a ingresar su nombre de usuario, contraseña y token de autenticación de dos factores (2FA), solo para que se robe probablemente por medio de un adversario en el medio (Aitm) Ataque y se usa para publicar la versión Rogue en el Registro NPM.
Los siguientes 20 paquetes, que atraen colectivamente más de 2 mil millones de descargas semanales, se han confirmado como parte del incidente –
- ansi-pulgex@6.2.1
- ansi-styles@6.2.2
- backslash@0.2.1
- chalk@5.6.1
- tiza-template@1.1.1
- Color-Convert@3.1.1
- color-name@2.0.1
- color string@2.1.1
- debug@4.4.2
- Error-ex@1.3.3
- ha-anhansi@6.0.1
- is-arrayish@0.3.3
- proto-tinker-wc@1.8.7
- admite hyperlinks@4.1.1
- simple-swizzle@0.2.3
- slice-annsi@7.1.1
- strip-ansi@7.1.1
- admite-color@10.2.1
- admite hyperlinks@4.1.1
- wrap-ansi@9.0.1
«Lo siento a todos, debería haber prestado más atención», Junon dicho En una publicación sobre Bluesky. «No como yo; he tenido una semana estresante. Trabajará para limpiar esto».
Un análisis del malware ofuscado inyectado en el código fuente revela que está diseñado para interceptar las solicitudes de transacción de criptomonedas e intercambiar la dirección de la billetera de destino con una billetera controlada por el atacante que lo coincide de manera estrecha mediante la calculación de la calculación de la calculación de la calculadora Distancia de levenshtein.
Según Charlie Eriksen de Aikido Security, la carga útil hechos Como interceptor basado en el navegador que secuestra el tráfico de la red y las API de las aplicaciones para robar activos de criptomonedas reescribiendo solicitudes y respuestas. Actualmente no se sabe quién está detrás del ataque.
«¡La carga útil comienza revisando la ventana TypeOf! == 'Undefined' para confirmar que se está ejecutando en un navegador», Socket dicho. «Luego se conecta a la ventana.
«Esto significa que el malware se dirige a los usuarios finales con billeteras conectadas que visitan un sitio que incluye el código comprometido. Los desarrolladores no son inherentemente el objetivo, pero si abren un sitio afectado en un navegador y conectan una billetera, también se convierten en víctimas».
Los ecosistemas de paquetes como NPM y el índice de paquetes de Python (PYPI) siguen siendo objetivos recurrentes debido a su popularidad y amplio alcance dentro de la comunidad de desarrolladores, con atacantes que abusan de la confianza asociada con estas plataformas para impulsar las cargas útiles maliciosas.
Más allá de la publicación de paquetes maliciosos directamente, los atacantes también han empleado técnicas como el tipo de tipograto slopsquatting – Para engañar a los desarrolladores para instalar malware. El incidente indica una vez la necesidad de ejercer vigilancia y endurecimiento de las tuberías de CI/CD y bloquear las dependencias.
Según ReversingLabs '2025 Informe de seguridad de la cadena de suministro de software14 de las 23 campañas maliciosas relacionadas con cripto en 2024 dirigidas a NPM, con el resto vinculado a PYPI.
«Lo que estamos viendo se desarrolla con los paquetes NPM Chalk y la depuración es una instancia desafortunadamente común hoy en la cadena de suministro de software», dijo Ilkka Turunen, CTO de campo de Sonatype, a The Hacker News.
«La carga útil maliciosa se centró en el robo de criptografía, pero esta adquisición sigue un ataque clásico que ahora está establecido: al hacerse cargo de los populares paquetes de código abierto, los adversarios pueden robar secretos, dejar atrás y organizaciones de infiltrado».
«No era una opción aleatoria apuntar al desarrollador de estos paquetes. Las adquisiciones de paquetes ahora son una táctica estándar para grupos de amenazas persistentes avanzados como Lázaro, porque saben que pueden alcanzar una gran cantidad de la población de desarrolladores del mundo al infiltrarse en un solo proyecto de recursos poco recursos».
Fuente