Los investigadores de ciberseguridad han advertido contra ataques de la cadena de suministro dirigido a paquetes comunes de NPM a través de campañas de phishing diseñadas para robar tokens NPM de los mantenedores de proyectos.
Usando tokens capturados, publiqué los paquetes de versiones myary directamente en el registro sin el código fuente que compromete o extraiga solicitudes en sus respectivos repositorios de GitHub.
Según Socket, una lista de paquetes afectados y sus versiones deshonestas se enumeran a continuación –
Eslint-Config-Prettier (versiones 8.10.1, 9.1.1, 10.1.6 y 10.1.7) Eslint-Plugin-Prettier (versiones 4.2.2 y 4.2.3) SyncKit (versiones 0.11.9) @Pkgr/Core (versiones 0.2.8) NAPI-Postinstall (versiones 0.3.1)
«El código inyectado podría intentar ejecutar la DLL en una máquina de Windows, permitiendo que se ejecute el código remoto», dijo la compañía de seguridad de la cadena de suministro de software.
El desarrollo se lleva a cabo después de una campaña de phishing donde resulta engañar a los mantenedores de proyectos y engañar el enlace de corte de tipo («npnjs (.) Com,» npmjs (.) Com «) que recolectaron calificaciones.
Misiva digital con el tema «Verifique su dirección de correo electrónico» despertó una dirección de correo electrónico legítima asociada con NPM («Soporte@npmjs (.) Org») y solicitó a los destinatarios que verifiquen su dirección de correo electrónico haciendo clic en el enlace integrado.
Una página de destino falsa donde la víctima se redirige en base a enchufe por socket es un clon de una página de inicio de sesión de NPM legítima diseñada para capturar información de inicio de sesión.
Se recomienda a los desarrolladores que utilizan paquetes afectados que verifiquen la versión instalada y vuelvan a una versión segura. Los mantenedores de proyectos recomiendan que active la autenticación de dos factores para proteger su cuenta y use un token de alcance en lugar de una contraseña para publicar su paquete.
«Este incidente muestra qué tan rápido los ataques de phishing contra los mantenedores se convierten en toda la amenaza del ecosistema», dijo Socke.
Los hallazgos son consistentes con una campaña no relacionada llena de NPM con 28 paquetes que pueden deshabilitar las interacciones basadas en el mouse en sitios web con dominios rusos o bielorrusos. También está diseñado para interpretar el himno nacional ucraniano en un bucle.
Sin embargo, el ataque solo funciona si el visitante del sitio tiene un ajuste de lenguaje del navegador establecido en ruso, y en algunos casos se visita el mismo sitio web por segunda vez, por lo que solo los visitantes repetidos están atacados. Esta actividad marca una expansión de una campaña que se marcó por primera vez el mes pasado.
«El desgaste de protesta destaca que las acciones tomadas por los desarrolladores pueden transmitirse de manera inadecuada en dependencias anidadas y pueden tardar días o semanas en que se manifiesten», dijo la investigadora de seguridad Olivia Brown.
Arch Linux elimina 3 paquetes AUR con malware LAT caótico instalado
El equipo de Arch Linux también dijo que había sacado tres paquetes AUR maliciosos cargados en el Repositorio de usuario de Arch (AUR) e instaló un troyano de acceso remoto llamado Chaos Rat desde el repositorio de GitHub que tiene funcionalidad oculta y ahora se está eliminando.
Los paquetes afectados son «Librewolf-Fix-Bin», «Firefox-Patch-bin» y «Zen-Browser-Patched-Bin». Fue publicado el 16 de julio de 2025 por un usuario llamado «Danikpapas».
«Estos paquetes instalaron scripts que provienen del mismo repositorio de GitHub, que se identificaron como troyanos de acceso remoto (ratas)», dijo el mantenedor. «Recomendamos encarecidamente instalar cualquiera de estos paquetes, eliminarlos del sistema y tomar las mediciones necesarias para evitar compromisos».
Source link
