Los investigadores de ciberseguridad han alertado un ataque de la cadena de suministro que se ha dirigido a los paquetes populares de NPM a través de una campaña de phishing diseñada para robar los tokens NPM de los mantenedores del proyecto.
Los tokens capturados se utilizaron para publicar versiones maliciosas de los paquetes directamente al registro sin ningún código fuente que se comprometa o retire las solicitudes en sus respectivos repositorios de GitHub.
La lista de paquetes afectados y sus versiones deshonestas, según Socket, se enumera a continuación –
- Eslint-Config-Prettier (versiones 8.10.1, 9.1.1, 10.1.6 y 10.1.7)
- Eslint-Plugin-Prettier (versiones 4.2.2 y 4.2.3)
- SyncKit (versión 0.11.9)
- @PKGR/Core (versión 0.2.8)
- Napi-Postinstall (versión 0.3.1)
«El código inyectado intentó ejecutar una DLL en las máquinas de Windows, lo que podría permitir la ejecución del código remoto», dijo la firma de seguridad de la cadena de suministro de software.
El desarrollo viene después de una campaña de phishing que se ha encontrado que envía mensajes de correo electrónico que se hace pasar por NPM para engañar a los mantenedores de proyectos para hacer clic en un enlace tipográfico («npnjs (.) Com», en lugar de «npmjs (.) Com») que cosechó sus credenciales.
Las misivas digitales, con la línea de asunto «Verifique su dirección de correo electrónico», falsificó una dirección de correo electrónico legítima asociada con NPM («Soporte@npmjs (.) Org»), instando a los destinatarios a validar su dirección de correo electrónico haciendo clic en el enlace integrado.
La página de destino falsa a la que se redirigen a las víctimas, por enchufe, es un clon de la legítima página de inicio de sesión de NPM que está diseñada para capturar su información de inicio de sesión.
Se recomienda a los desarrolladores que usan los paquetes afectados que verifiquen las versiones instaladas y vuelvan a revertir a una versión segura. Se recomienda a los mantenedores de proyectos que activen la autenticación de dos factores para asegurar sus cuentas y usen tokens de alcance en lugar de contraseñas para publicar paquetes.
«Este incidente muestra qué tan rápido los ataques de phishing contra los mantenedores pueden aumentar a las amenazas de todo el ecosistema», dijo Socket.
Los hallazgos coinciden con una campaña no relacionada que ha inundado NPM con 28 paquetes que contienen funcionalidad de protestware que puede deshabilitar la interacción basada en ratones en sitios web con un dominio ruso o bielorruso. También están diseñados para jugar el himno nacional ucraniano en un bucle.
Sin embargo, el ataque solo funciona cuando el visitante del sitio tiene la configuración de lenguaje de su navegador establecida en ruso y, en algunos casos, el mismo sitio web se visita por segunda vez, asegurando así que solo los visitantes repetidos sean atacados. La actividad marca una expansión de una campaña que se marcó por primera vez el mes pasado.
«Este protestware subraya que las acciones tomadas por los desarrolladores pueden propagar desapercibidos en las dependencias anidadas y pueden tardar días o semanas en manifestarse», dijo la investigadora de seguridad Olivia Brown.
Arch Linux elimina 3 paquetes AUR que instalaron malware de rata de caos
También se produce cuando el equipo de Arch Linux dijo que ha sacado tres paquetes AUR maliciosos que se cargaron al Repositorio de usuario de Arch (AUR) y que ha albergado la funcionalidad oculta para instalar un troyano de acceso remoto llamado Rata de Caos desde un repositorio de GitHub ahora ahora recuperado.
Los paquetes afectados son: «Librewolf-Fix-Bin», «Firefox-Patch-bin» y «Zen-Browser-Bin-Bin». Fueron publicados por un usuario llamado «Danikpapas» el 16 de julio de 2025.
«Estos paquetes estaban instalando un script proveniente del mismo repositorio de GitHub que se identificó como un troyano de acceso remoto (rata)», dijeron los mantenedores. «Alentamos encarecidamente a los usuarios que pueden haber instalado uno de estos paquetes para eliminarlos de su sistema y tomar las medidas necesarias para garantizar que no se vieran comprometidos».