enero 14, 2026
npm-login.jpg

Los investigadores de ciberseguridad han revelado detalles de lo que llamaron una campaña de phishing “sostenida y dirigida” en la que se publicaron más de dos docenas de paquetes en el registro de NPM para facilitar el robo de credenciales.

La actividad, que implicó cargar 27 paquetes NPM de seis alias diferentes de NPM, estaba dirigida principalmente al personal comercial y de ventas de organizaciones de infraestructura crítica en los EE. UU. y países aliados, dijo Socket.

“Una operación de cinco meses convirtió paquetes de 27 npm en alojamiento persistente para señuelos basados ​​en navegadores que imitan los portales de intercambio de documentos y el inicio de sesión de Microsoft, apuntando a 25 organizaciones en los sectores de fabricación, automatización industrial, procesamiento de plásticos y atención médica para el robo de credenciales”, dijeron los investigadores Nicholas Anderson y Kirill Boychenko.

Los nombres de los paquetes se enumeran a continuación:

  • adril7123
  • ardril712
  • arrdril712
  • androidvoues
  • Activos abundantes
  • Axerificación
  • Confirmación
  • Verificación
  • irritación
  • Eruificación
  • hgfiuythdjfhgff
  • homiersla
  • houimlogs22
  • iuythdjfghgff
  • iuythdjfhgff
  • iuythdjfhgffdf
  • iuythdjfhgffs
  • iuythdjfhgffyg
  • jwoiesk11
  • módulo9382
  • Verificación de Onedrive
  • sardril712
  • Scriptstierium11
  • Aplicación de documentos seguros
  • sincronización365
  • teterificación
  • vampula vacia

En lugar de exigir a los usuarios que instalen los paquetes, el objetivo final de la campaña es reutilizar npm y redes de entrega de contenido (CDN) de paquetes como infraestructura de alojamiento y utilizarlos para entregar señuelos HTML y JavaScript del lado del cliente disfrazados de intercambio seguro de documentos e integrados directamente en páginas de phishing. Luego, las víctimas son redirigidas a las páginas de inicio de sesión de Microsoft utilizando la dirección de correo electrónico precompletada en el formulario.

Ciberseguridad

Existen varias ventajas al utilizar paquetes CDN. La más importante es la capacidad de transformar un servicio de distribución legítimo en una infraestructura resistente a los cierres. Además, incluso si se eliminan las bibliotecas, es más fácil para los atacantes cambiar a otros alias de editores y nombres de paquetes.

Se descubrió que los paquetes contenían varias comprobaciones del lado del cliente para complicar los esfuerzos de análisis, incluido el filtrado de bots, eludir zonas de pruebas y requerir entrada táctil o del mouse antes de redirigir a las víctimas a una infraestructura de recopilación de credenciales controlada por el actor de amenazas. Además, el código JavaScript está ofuscado o muy minimizado para dificultar la revisión automatizada.

Otro control anti-análisis importante que lleva a cabo el actor de amenazas se relaciona con el uso de campos de formulario de honeypot que no son visibles para los usuarios reales pero que probablemente estén poblados por rastreadores. Este paso actúa como una segunda capa de defensa y evita que el ataque avance más.

Según Socket, los dominios incluidos en estos paquetes se superponen con la infraestructura de phishing Adversary-in-the-Middle (AitM), que está asociada con Evilginx, un kit de phishing de código abierto.

Esta no es la primera vez que npm se convierte en una infraestructura de phishing. En octubre de 2025, la empresa de seguridad de la cadena de suministro de software informó sobre una campaña llamada Beamglea en la que actores de amenazas desconocidos cargaron 175 paquetes maliciosos para ataques de recolección de credenciales. Se cree que la última ola de ataques es diferente a Beamglea.

“Esta campaña sigue el mismo principio básico pero con diferentes mecanismos de entrega”, dijo Socket. “En lugar de simplemente enviar scripts de redireccionamiento mínimos, estos paquetes ofrecen un flujo de phishing autónomo ejecutado por el navegador como un paquete HTML y JavaScript integrado que se ejecuta cuando se carga en el contexto de una página”.

Además, se descubrió que los paquetes de phishing codificaban 25 direcciones de correo electrónico vinculadas a personas específicas que trabajaban como gerentes de cuentas, representantes de ventas y desarrollo comercial en los sectores de fabricación, automatización industrial, cadena de suministro de plásticos y polímeros y atención médica en Austria, Bélgica, Canadá, Francia, Alemania, Italia, Portugal, España, Suecia, Taiwán, Turquía, el Reino Unido y Estados Unidos.

Actualmente se desconoce cómo obtuvieron los atacantes las direcciones de correo electrónico. Dado que muchas de las empresas objetivo se reúnen en importantes ferias internacionales como Interpack y K-Fair, se sospecha que los actores de amenazas obtuvieron la información de estos sitios web y la combinaron con inteligencia general en la web abierta.

Ciberseguridad

“En varios casos, las ubicaciones de destino difieren de las sedes corporativas, lo que es consistente con el enfoque del actor de la amenaza en los representantes de ventas regionales, los gerentes nacionales y los equipos de ventas locales, en lugar de solo la TI corporativa”, dijo la compañía.

Para abordar el riesgo que plantea la amenaza, es importante aplicar una estricta verificación de dependencias, registrar solicitudes CDN inusuales de contextos que no sean de desarrollo, aplicar la autenticación multifactor (MFA) resistente al phishing y monitorear eventos sospechosos posteriores a la autenticación.

El desarrollo se produce cuando Socket dice que ha observado un aumento constante de malware destructivo en npm, PyPI, NuGet Gallery y los índices de módulos Go que utilizan técnicas como ejecución diferida y desconexión remota para evadir la detección temprana y recuperar código ejecutable en tiempo de ejecución utilizando herramientas estándar como wget y curl.

“En lugar de cifrar discos duros o destruir archivos indiscriminadamente, estos paquetes funcionan de forma más quirúrgica”, afirmó el investigador Kush Pandya.

“Solo eliminan lo que es importante para los desarrolladores: repositorios Git, directorios de origen, archivos de configuración y resultados de compilación de CI. A menudo integran esta lógica en rutas de código que de otro modo serían funcionales y dependen de ganchos de ciclo de vida estándar para su ejecución, lo que significa que es posible que la aplicación misma nunca necesite importar o invocar explícitamente el malware”.

About The Author

desafiomayor

See author's posts

Related News

payment.png

Una campaña de skimming web de larga duración roba tarjetas de crédito de sitios de pago en línea

enero 14, 2026 0
mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0

You may have missed

nyt-word-games-connections-2798.jpg

Pistas y respuestas de NYT Connections de hoy para el 14 de enero #948

enero 14, 2026 0
wordle-word-game-hints-puzzle-8667.jpg

Pistas, respuestas y ayuda del NYT Wordle de hoy para el 14 de enero #1670

enero 14, 2026 0
Washington-capitol-building-1260x945.jpg

El proyecto de ley del estado de Washington apunta a los listados de bienes raíces privados y requeriría comercialización pública

enero 14, 2026 0
waymo-ces-2026.jpg

El gobernador de Nueva York está allanando el camino para los taxis robot en todas partes, con una notable excepción

enero 14, 2026 0
roblox_1.jpg

Según se informa, el sistema de verificación de edad de Roblox es un desastre

enero 14, 2026 0
Screenshot_2026-01-13_at_13.25.49.png

Instagram quiere que personalices tu algoritmo de Reels para 2026

enero 14, 2026 0