Hoy volvemos a ver cómo la seguridad del software se golpea con la ingeniería social y la economía del crimen organizado: investigadores han descubierto una ráfaga de paquetes maliciosos publicados en el registro de npm que, disfrazados de utilidades y librerías legítimas, proceden a robar credenciales y carteras de criptomonedas a desarrolladores y administradores desprevenidos.
El origen de la detección proviene de un análisis detallado que describe una campaña multi‑etapa: las librerías investigadas muestran durante la instalación lo que parecen ser logs auténticos de npm y añaden retardos aleatorios para simular descargas reales, hasta que saltan mensajes que indican falta de permisos de escritura en /usr/local/lib/node_modules. Ese aviso se utiliza como pretexto para solicitar la contraseña de administrador o root. Si el usuario la teclea, el siguiente paso es silencioso: se descarga un “downloader” que contacta canales en Telegram para obtener la URL del payload final y la clave para descifrarlo. El resultado es la entrega de un troyano de acceso remoto (RAT) o un stealer capaz de exfiltrar datos sensibles, incluidas credenciales de navegadores, llaves SSH, configuraciones de proveedores en la nube y monederos de criptomonedas.
ReversingLabs fue de las firmas que documentaron esta metodología y la bautizó en su informe como parte de la campaña que están rastreando. Puedes leer su análisis técnico en detalle en su blog: ReversingLabs — npm fake install logs RAT. Paralelamente, otras investigaciones públicas han encontrado patrones muy parecidos en repositorios de GitHub que primero actúan como proyectos inofensivos y, tras ganar cierta reputación, introducen scripts de instalación maliciosos que desencadenan la cadena de infección. Jamf Threat Labs ha publicado un desglose que muestra cómo estos repositorios se apoyan incluso en flujos de trabajo orientados a la IA para parecer legítimos: Jamf — GhostClaw & GhostLoader analysis.
Un aspecto particularmente preocupante es la paciencia del atacante: publicar código aparentemente benigno, acumular “stars” y actividad para crear confianza y luego actualizar o añadir un README que induzca a ejecutar un script en el equipo del desarrollador. En algunos casos el instalador incluye una variable de entorno que permite alternar entre una interfaz de instalación completa —con barras de progreso y preguntas al usuario— y un modo minimalista que solo recoge credenciales. Ese grado de sofisticación demuestra que no se trata de scripts improvisados, sino de una operación planificada para maximizar la probabilidad de engaño.
Las piezas maliciosas vistas en los informes suplantaban herramientas y SDKs comunes: desde utilidades para optimización de React hasta supuestos bots de trading y utilidades para macOS, con nombres que buscaban aprovechar confianza o relevancia temática entre desarrolladores. Las víctimas potenciales reciben instrucciones para ejecutar comandos que requieren privilegios elevados; ese momento es crítico porque permite a la cadena de ataque plantar componentes con permisos suficientes para acceder a datos protegidos y persistir en la máquina.
La exfiltración de la información también revela ingenio operativo: en algunos casos los datos robados se envían a bots de Telegram asociados a distintos “socios” según un identificador de campaña, y la monetización se completa mediante redirecciones de afiliados almacenadas en contratos inteligentes de Binance Smart Chain, de modo que el actor malicioso puede actualizar rutas y monetizar sin tocar el código del malware distribuido. Un análisis que profundiza en esta economía delictiva apareció en el blog de Panther: Panther — Phantom Menace: Ghost Loader infostealer campaign.
¿Qué lección deja todo esto para quienes trabajan con Node.js, repositorios de código y flujos de trabajo modernos? La primera es que la confianza por defecto en la cadena de suministro ya no es segura. Ejecutar scripts sugeridos en un README o introducir sudo para “optimizar el sistema” debería activar inmediatamente las alarmas. En lugar de eso, conviene comprobar qué ejecutan exactamente los scripts de instalación (los scripts postinstall en package.json), revisar la actividad y la historia del maintainer, y preferir herramientas que no requieran elevar privilegios del sistema para instalaciones globales. La documentación oficial de Node sobre gestores de paquetes y la recomendación de usar gestores de versiones como nvm para evitar instalaciones globales con sudo es un recurso útil para reducir la superficie de ataque: nvm (Node Version Manager) y las guías de Node.js sobre instalaciones seguras son buenos puntos de partida.
Además, los equipos deberían reforzar el proceso de incorporación de dependencias con revisiones automatizadas y controles: revisar paquetes que ejecutan scripts postinstall, auditar cambios en repositorios que se usan como fuentes de dependencias, y poner en marcha herramientas de seguridad de la cadena de suministro como las que proponen iniciativas comunitarias y plataformas de código. GitHub Security Lab y OpenSSF ofrecen guías y recursos para mitigar riesgos en el software supply chain: GitHub Security Lab y OpenSSF.
Si crees que has sido afectado, actúa con cautela: cambia contraseñas y claves comprometidas, revisa procesos y conexiones salientes desde la máquina afectada, y, si fue una cuenta con acceso a repositorios o infraestructuras, rota las credenciales y tokens. Reportar paquetes maliciosos al equipo de seguridad de npm y a las plataformas donde se alojaban los repositorios ayuda a cortar la diseminación; npm dispone de canales para reportar abuso y vulnerabilidades en paquetes publicados.
En última instancia, la campaña demuestra que los atacantes están adaptando sus tácticas al ecosistema de desarrollo: combinan ingeniería social, abuso de plataformas legítimas como npm y GitHub, y canales modernos de control como Telegram para construir una cadena de ataque completa. La defensa exige no solo herramientas automáticas, sino también prudencia y procesos claros a la hora de instalar software y conceder privilegios. Mantenerse informado y aplicar hábitos sencillos —no ejecutar scripts de fuentes no verificadas, evitar sudo innecesario, y auditar dependencias— reduce mucho el riesgo de convertirse en la próxima víctima.
Para ampliar información técnica y ver los hallazgos completos, revisa los informes citados de ReversingLabs, Jamf y Panther, que desmenuzan las fases de instalación, persistencia y exfiltración de estas campañas: ReversingLabs, Jamf y Panther.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...