Investigadores de ciberseguridad han revelado detalles de lo que dicen es una campaña de phishing «persistente y dirigida» que publicó más de 20 paquetes en el registro npm para facilitar el robo de credenciales.
Según Socket, la actividad cargó 27 paquetes npm de seis alias de npm diferentes y se dirigió principalmente a ventas y personal de ventas en organizaciones adyacentes a infraestructura crítica en los Estados Unidos y países aliados.
«Cinco meses de operación convirtieron paquetes de 27 npm en alojamiento duradero para portales de intercambio de documentos y señuelos de navegación que imitan el inicio de sesión de Microsoft, apuntando a 25 organizaciones en manufactura, automatización industrial, plásticos y atención médica para el robo de credenciales», dijeron los investigadores Nicholas Anderson y Kirill Boychenko en un comunicado.
Los nombres de los paquetes se enumeran a continuación:
adril7123 adril712 arrdril712 androidvoues activo prisa axerificación erificación erificación erificación erificación hgfiuythdjfhgff homiersla houimlogs22 iuythdjfghgff iuythdjfhgff iuythdjfhgffdf iuythdjfhgffs iuythdjfhgffyg módulos jwoiesk119382 verificación-onedrive sarrdril712 scriptstierium11 sincronización-aplicación-docs-segura ttetrificación vampuleerl 365
El objetivo final de esta campaña es reutilizar npm y empaquetar redes de entrega de contenido (CDN) como infraestructura de alojamiento, en lugar de requerir que los usuarios instalen paquetes y los utilicen para entregar HTML y JavaScript del lado del cliente que disfrazan el intercambio seguro de documentos integrados directamente en páginas de phishing. Luego, las víctimas son redirigidas a una página de inicio de sesión de Microsoft con la dirección de correo electrónico previamente completada en el formulario.
Existen varias ventajas al utilizar un paquete CDN. Su mayor ventaja es que puede transformar servicios de distribución legítimos en infraestructura resistente a la destrucción. Además, incluso si se extrae la biblioteca, un atacante puede cambiar fácilmente al alias o nombre del paquete de otro editor.
Se ha descubierto que el paquete incluye varias comprobaciones del lado del cliente para desafiar los esfuerzos analíticos, como el filtrado de bots, la evasión de la zona de pruebas y la exigencia de entrada táctil o del mouse antes de dirigir a las víctimas a la infraestructura de recolección de credenciales controlada por los actores de amenazas. El código JavaScript también se ofusca o se reduce significativamente para dificultar la inspección automatizada.
Otro control antianálisis importante empleado por los actores de amenazas se relaciona con el uso de campos de formulario de honeypot que no son visibles para los usuarios reales pero que es probable que los completen los rastreadores. Este paso actúa como una segunda capa de defensa y evita que el ataque avance más.
Socket dijo que los dominios incluidos en estos paquetes se superponen con la infraestructura de phishing de tipo man-in-the-middle (AitM) asociada con el kit de phishing de código abierto Evilginx.
Esta no es la primera vez que npm se transforma en una infraestructura de phishing. En octubre de 2025, una empresa de seguridad de la cadena de suministro de software detalló una campaña llamada Beamglea en la que un atacante desconocido cargó 175 paquetes maliciosos para un ataque de recolección de credenciales. Se considera que la última ola de ataques es diferente de Beamglea.
«Esta campaña sigue la misma estrategia central pero tiene un mecanismo de entrega diferente», dijo Socket. «En lugar de enviar un script de redireccionamiento mínimo, estos paquetes proporcionan un flujo de phishing autónomo que se ejecuta en el navegador como un paquete HTML y JavaScript integrado que se ejecuta cuando se carga en el contexto de la página».
Además, se descubrió que el paquete de phishing codificaba 25 direcciones de correo electrónico asociadas con personas específicas que trabajaban como gerentes de cuentas, representantes de ventas y representantes de desarrollo comercial en los sectores de fabricación, automatización industrial, cadena de suministro de plásticos y polímeros y atención médica en Austria, Bélgica, Canadá, Francia, Alemania, Italia, Portugal, España, Suecia, Taiwán, Turquía, el Reino Unido y Estados Unidos.
Actualmente se desconoce cómo obtuvo el atacante la dirección de correo electrónico. Sin embargo, dado que muchas de las empresas objetivo están agrupadas en importantes ferias comerciales internacionales como Interpack y K-Fair, sospechamos que los atacantes pueden haber extraído información de estos sitios y haberla combinado con un reconocimiento web abierto general.
«En algunos casos, la ubicación del objetivo es diferente de la sede de la empresa. Esto es consistente con los atacantes que se centran en el personal de ventas regional, los gerentes nacionales y los equipos de ventas locales, en lugar de solo en la TI de la empresa», dijo la empresa.
Para contrarrestar el riesgo que representa esta amenaza, es esencial aplicar una estricta validación de dependencia, registrar solicitudes CDN anómalas de contextos que no sean de desarrollo, aplicar la autenticación multifactor (MFA) resistente al phishing y monitorear eventos sospechosos posteriores a la autenticación.
Este desarrollo se produce después de que Sockets observara un aumento constante de malware destructivo en npm, PyPI, NuGet Gallery y los índices de módulos Go utilizando técnicas como la ejecución diferida y los interruptores de apagado controlados remotamente para evadir la detección temprana y obtener código ejecutable en tiempo de ejecución utilizando herramientas estándar como wget y curl.
«Estos paquetes tienden a operar quirúrgicamente en lugar de cifrar discos o destruir archivos indiscriminadamente», dijo el investigador Kush Pandya.
«Solo eliminamos lo que es importante para los desarrolladores: repositorios Git, directorios de origen, archivos de configuración y resultados de compilación de CI. A menudo incorporamos esta lógica en otras rutas de código funcional y confiamos en ganchos de ciclo de vida estándar para la ejecución, lo que significa que es posible que la aplicación misma no necesite importar o llamar explícitamente el malware».
Source link
