Los investigadores de ciberseguridad han alertado un ataque de la prisión de suministro que se ha dirigido a los paquetes populares de NPM a través de una campaña de phishing diseñada para robar los tokens NPM de los mantenedores del esquema.
Los tokens capturados se utilizaron para anunciar versiones maliciosas de los paquetes directamente al registro sin ningún código fuente que se comprometa o retire las solicitudes en sus respectivos repositorios de GitHub.
La nómina de paquetes afectados y sus versiones deshonestas, según Socket, se enumera a continuación –
- Eslint-Config-Prettier (versiones 8.10.1, 9.1.1, 10.1.6 y 10.1.7)
- Eslint-Plugin-Prettier (versiones 4.2.2 y 4.2.3)
- SyncKit (lectura 0.11.9)
- @PKGR/Core (lectura 0.2.8)
- Napi-Postinstall (lectura 0.3.1)
«El código inyectado intentó ejecutar una DLL en las máquinas de Windows, lo que podría permitir la ejecución del código remoto», dijo la firma de seguridad de la prisión de suministro de software.
El mejora viene luego de una campaña de phishing que se ha contrario que envía mensajes de correo electrónico que se hace producirse por NPM para engañar a los mantenedores de proyectos para hacer clic en un enlace tipográfico («npnjs (.) Com», en superficie de «npmjs (.) Com») que cosechó sus credenciales.
Las misivas digitales, con la recorrido de asunto «Verifique su dirección de correo electrónico», falsificó una dirección de correo electrónico legítima asociada con NPM («Soporte@npmjs (.) Org»), instando a los destinatarios a validar su dirección de correo electrónico haciendo clic en el enlace integrado.
La página de destino falsa a la que se redirigen a las víctimas, por enchufe, es un clon de la legítima página de inicio de sesión de NPM que está diseñada para capturar su información de inicio de sesión.
Se recomienda a los desarrolladores que usan los paquetes afectados que verifiquen las versiones instaladas y vuelvan a revertir a una lectura segura. Se recomienda a los mantenedores de proyectos que activen la autenticación de dos factores para afianzar sus cuentas y usen tokens de calibre en superficie de contraseñas para anunciar paquetes.
«Este incidente muestra qué tan rápido los ataques de phishing contra los mantenedores pueden aumentar a las amenazas de todo el ecosistema», dijo Socket.
Los hallazgos coinciden con una campaña no relacionada que ha inundado NPM con 28 paquetes que contienen funcionalidad de protestware que puede deshabilitar la interacción basada en ratones en sitios web con un dominio ruso o bielorruso. Todavía están diseñados para esparcirse el himno doméstico ucraniano en un tirabuzón.
Sin incautación, el ataque solo funciona cuando el visitante del sitio tiene la configuración de idioma de su navegador establecida en ruso y, en algunos casos, el mismo sitio web se recepción por segunda vez, asegurando así que solo los visitantes repetidos sean atacados. La actividad marca una expansión de una campaña que se marcó por primera vez el mes pasado.
«Este protestware subraya que las acciones tomadas por los desarrolladores pueden propagar desapercibidos en las dependencias anidadas y pueden tardar días o semanas en manifestarse», dijo la investigadora de seguridad Olivia Brown.
Arch Linux elimina 3 paquetes AUR que instalaron malware de rata de caos
Todavía se produce cuando el equipo de Arch Linux dijo que ha sacado tres paquetes de AUR maliciosos que se cargaron al Repositorio de adjudicatario de Arch (AUR) y que ha albergado la funcionalidad oculta para instalar un troyano de paso remoto llamado RAT del Caos de un repositorio de GitHub ahora recuperado.
Los paquetes afectados son: «Librewolf-Fix-Bin», «Firefox-Patch-bin» y «Zen-Browser-Bin-Bin». Fueron publicados por un adjudicatario llamado «Danikpapas» el 16 de julio de 2025.
«Estos paquetes estaban instalando un script proveniente del mismo repositorio de GitHub que se identificó como un troyano de paso remoto (rata)», dijeron los mantenedores. «Alentamos insistentemente a los usuarios que pueden acontecer instalado uno de estos paquetes para eliminarlos de su sistema y tomar las medidas necesarias para certificar que no se vieran comprometidos».
