Se han comprometido múltiples paquetes de NPM como parte de un ataque de cadena de suministro de software después de que la cuenta del mantenedor se vio comprometida en un ataque de phishing.
El ataque se dirigió a Josh Junon (también conocido como Qix) que recibió un mensaje de correo electrónico que imitaba NPM («Support@NPMJS (.) Ayuda») y los alentó a actualizar sus credenciales de autenticación de dos factores (2FA) para el 10 de septiembre de 2025, y actualizar sus credenciales de autenticación de dos factores (2FA) al hacer clic en el enlace empedido.
Se dice que la página de phishing impulsó al co-mentor a ingresar un nombre de usuario, contraseña y un token de autenticación de dos factores (2FA).
Se ha confirmado que los siguientes 20 paquetes que atraen colectivamente más de 2 mil millones de descargas cada semana se ven afectados como parte de un incidente –
ansi-regex@6.2.1 ansi-styles@6.2.2 backslash@0.2.1 chalk@5.6.1 chalk-template@1.1.1 color-convert@3.1. proto-tinker-wc@1.8.7 soporta a hyperlinks@4.1.1 simple-swizzle@0.2.3 slice-ansi@7.1.1 sprip-ansi@7.1.1 admite hyperlinks@4.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1. 1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.
«Lo siento, debería haber prestado más atención», dijo Junon en un puesto de Bruski. «No como yo. Tuve una semana estresante. Trabajaré para limpiar esto».
El análisis de malware ofuscado inyectado en el código fuente revela que está diseñado para interceptar solicitudes de transacción de criptomonedas e intercambiar direcciones de billetera de destino con billeteras controladas por atacantes estrechamente coincidentes calculando la distancia de levenstenin.
Según Charlie Eriksen de Aikido Security, la carga útil actúa como un interceptor basado en el navegador que secuestra el tráfico de la red y las API de las aplicaciones para robar activos de criptomonedas reescribiendo solicitudes y respuestas. Actualmente se desconoce quién está detrás del ataque.
«La carga útil comienza con verificar la ventana del tipo! ==» Undefined «asegura que se esté ejecutando en el navegador», dice Socket. «Luego conecte a Window.fetch, xmlhttprequest y window.ethereum.request, otras apis del proveedor de billetera».
«Esto significa que el malware se dirige a los usuarios finales con billeteras conectadas que acceden a sitios que contienen código comprometido. Los desarrolladores no están esencialmente dirigidos, pero si abre un sitio afectado en su navegador y conecta su billetera, se convierte en una víctima».
Los ecosistemas de paquetes, como NPM y Python Package Index (PYPI), los objetivos de repetición para su popularidad y amplio alcance dentro de la comunidad de desarrolladores.
Además de exponer los paquetes maliciosos directamente, los atacantes también están utilizando técnicas como explotar dependencias califinadas para instalar malware, utilizando dependencias de IA-talucinadas, conocidas como Slopestwing. El incidente una vez demuestra la necesidad de ejercer vigilancia, fortalecer la tubería de CI/CD y bloquear las dependencias.
Según el Informe de seguridad de la cadena de suministro de software 2025 de ReversingLabs, 14 de las 23 campañas maliciosas relacionadas con la criptografía en 2024 Target NPM, mientras que el resto están vinculados a PYPI.
«Lo que estamos viendo es el desarrollo del estrangulador y la depuración de los paquetes de NPM es una instancia desafortunadamente común en la cadena de suministro de software actual», dijo Hacker News, CTO de Field CTO de Sonatype, a Hacker News.
«Si bien las cargas de salón maliciosas se centraron en el robo criptográfico, esta adquisición sigue los ataques clásicos que ahora se establecen. Al hacerse cargo de un paquete de código abierto común, el enemigo roba secretos, deja detrás del fondo y penetra en la organización».
«Dirigir a los desarrolladores de estos paquetes no fue una opción aleatoria. Las adquisiciones de paquetes se han convertido en la táctica estándar para grupos de amenazas permanentes avanzadas como Lázaro porque saben que al infiltrarse en un solo proyecto subfinanciado, pueden alcanzar una gran cantidad de poblaciones de desarrolladores en todo el mundo».
Source link
