Los investigadores de ciberseguridad han revelado detalles de lo que se ha descrito como una campaña de phishing «sostenida y dirigida» que ha publicado más de dos docenas de paquetes en el registro npm para facilitar el robo de credenciales.
La actividad, que implicó cargar 27 paquetes npm de seis alias diferentes de npm, se ha dirigido principalmente al personal comercial y de ventas de organizaciones adyacentes a infraestructura crítica en los EE. UU. y las naciones aliadas, según Socket.
«Una operación de cinco meses convirtió paquetes de 27 npm en alojamiento duradero para señuelos ejecutados por navegadores que imitan los portales de intercambio de documentos y el inicio de sesión de Microsoft, apuntando a 25 organizaciones de manufactura, automatización industrial, plásticos y atención médica para el robo de credenciales», investigadores Nicholas Anderson y Kirill Boychenko dicho.
Los nombres de los paquetes se enumeran a continuación:
- adril7123
- ardril712
- arrdril712
- androidvoues
- activoslush
- axerificación
- erificación
- certificación
- errificación
- eruificación
- hgfiuythdjfhgff
- homiersla
- houimlogs22
- iuythdjfghgff
- iuythdjfhgff
- iuythdjfhgffdf
- iuythdjfhgffs
- iuythdjfhgffyg
- jwoiesk11
- módulos9382
- verificación-onedrive
- sarrdril712
- scriptstierium11
- aplicación-docs-segura
- sincronización365
- tetrificación
- vampuleerl
En lugar de exigir a los usuarios que instalen los paquetes, el objetivo final de la campaña es reutilizar npm y empaquetar redes de entrega de contenido (CDN) como infraestructura de alojamiento, utilizándolos para ofrecer HTML y JavaScript del lado del cliente que simulan el intercambio seguro de documentos y que están integrados directamente en páginas de phishing, después de lo cual las víctimas son redirigidas a páginas de inicio de sesión de Microsoft con la dirección de correo electrónico precompletada en el formulario.
El uso de paquetes CDN ofrece varios beneficios, el más importante es la capacidad de convertir un servicio de distribución legítimo en una infraestructura resistente a las eliminaciones. Además, facilita a los atacantes cambiar a otros alias de editores y nombres de paquetes, incluso si se extraen las bibliotecas.
Se ha descubierto que los paquetes incorporan varias comprobaciones en el lado del cliente para desafiar los esfuerzos de análisis, incluido el filtrado de bots, evadiendo zonas de pruebas y requiriendo entrada táctil o del mouse antes de llevar a las víctimas a una infraestructura de recolección de credenciales controlada por actores de amenazas. El código JavaScript también está ofuscado o muy minimizado para dificultar la inspección automatizada.
Otro control antianálisis crucial adoptado por el actor de amenazas se relaciona con el uso de campos de formulario de honeypot que están ocultos a la vista de los usuarios reales, pero que probablemente estén poblados por rastreadores. Este paso actúa como una segunda capa de defensa, evitando que el ataque avance.
Socket dijo que los dominios incluidos en estos paquetes se superponen con la infraestructura de phishing de adversario en el medio (AitM) asociada con malginxun kit de phishing de código abierto.
Esta no es la primera vez que npm se transforma en infraestructura de phishing. En octubre de 2025, la empresa de seguridad de la cadena de suministro de software detallado una campaña denominada Beamglea en la que actores de amenazas desconocidos cargaron 175 paquetes maliciosos para ataques de recolección de credenciales. Se considera que la última ola de ataques es distinta de Beamglea.
«Esta campaña sigue el mismo manual básico, pero con diferentes mecanismos de entrega», dijo Socket. «En lugar de enviar scripts de redireccionamiento mínimos, estos paquetes ofrecen un flujo de phishing autónomo ejecutado por el navegador como un paquete HTML y JavaScript integrado que se ejecuta cuando se carga en el contexto de una página».
Es más, se ha descubierto que los paquetes de phishing codifican 25 direcciones de correo electrónico vinculadas a personas específicas que trabajan en gerentes de cuentas, representantes de ventas y desarrollo comercial en manufactura, automatización industrial, cadenas de suministro de plásticos y polímeros y sectores de atención médica en Austria, Bélgica, Canadá, Francia, Alemania, Italia, Portugal, España, Suecia, Taiwán, Turquía, el Reino Unido y Estados Unidos.
Actualmente se desconoce cómo los atacantes obtuvieron las direcciones de correo electrónico. Pero dado que muchas de las empresas objetivo se reúnen en importantes ferias comerciales internacionales, como Interpack y K-Fair, se sospecha que los actores de la amenaza pueden haber extraído la información de estos sitios y la hayan combinado con un reconocimiento general de la web abierta.
«En varios casos, las ubicaciones de los objetivos difieren de las oficinas centrales corporativas, lo que es consistente con el enfoque del actor de amenazas en el personal de ventas regional, los gerentes nacionales y los equipos comerciales locales en lugar de solo en la TI corporativa», dijo la compañía.
Para contrarrestar el riesgo que plantea la amenaza, es esencial aplicar una estricta verificación de dependencia, registrar solicitudes CDN inusuales de contextos que no sean de desarrollo, aplicar la autenticación multifactor (MFA) resistente al phishing y monitorear eventos sospechosos posteriores a la autenticación.
El desarrollo se produce cuando Socket dijo que observó un aumento constante de malware destructivo en npm, PyPI, NuGet Gallery y los índices de módulos Go utilizando técnicas como ejecución retrasada y interruptores de apagado controlados remotamente para evadir la detección temprana y recuperar código ejecutable en tiempo de ejecución utilizando herramientas estándar como wget y curl.
«En lugar de cifrar discos o destruir archivos indiscriminadamente, estos paquetes tienden a operar quirúrgicamente», afirma el investigador Kush Pandya. dicho.
«Eliminan sólo lo que importa a los desarrolladores: repositorios Git, directorios de origen, archivos de configuración y resultados de compilación de CI. A menudo combinan esta lógica en rutas de código que de otro modo serían funcionales y dependen de ganchos de ciclo de vida estándar para su ejecución, lo que significa que es posible que la aplicación misma nunca necesite importar o invocar explícitamente el malware».
Fuente