Los investigadores de ciberseguridad han revelado detalles de lo que se ha descrito como una campaña de spear-phishing «sostenida y dirigida» que ha publicado más de dos docenas de paquetes en el registro de npm para facilitar el robo de credenciales.

La actividad, que implicó subir 27 paquetes de npm desde seis alias de npm diferentes, se dirigió principalmente al personal comercial y de ventas de organizaciones adyacentes a infraestructuras críticas en los EE. UU. y los países aliados, según Socket.

«Una operación de cinco meses convirtió 27 paquetes de npm en alojamiento duradero para señuelos gestionados por navegadores que imitan los portales de intercambio de documentos y el inicio de sesión de Microsoft, y se dirigió a 25 organizaciones de fabricación, automatización industrial, plásticos y atención médica por el robo de credenciales», dijeron los investigadores Nicholas Anderson y Kirill Boychenko dijo .

Los nombres de los paquetes se enumeran a continuación:

  • adril7123
  • ardril 712
  • arrdril 712
  • Android vota
  • fango de activos
  • axerificación
  • Verificación
  • erificación
  • errificación
  • erificación
  • hgfiuythdjfhgff
  • homiersla
  • houimlogs23
  • iuythdjfghgff
  • iuythdjfhgff
  • iuythdjfhgffdf
  • iuythdjfhgffs
  • iuythdjfhgffyg
  • jwoiesk12
  • módulos 9382
  • verificación de OneDrive
  • Sarrdril 712
  • guiones de tierium 11
  • aplicación secure-docs
  • sync365
  • atetrificación
  • erl de vampiros

En lugar de exigir a los usuarios que instalen los paquetes, el objetivo final de la campaña es reutilizar npm y las redes de entrega de contenido (CDN) de paquetes como infraestructura de alojamiento, utilizándolas para ofrecer señuelos HTML y JavaScript del lado del cliente que se hacen pasar por el intercambio seguro de documentos que se incrustan directamente en las páginas de suplantación de identidad, tras lo cual las víctimas son redirigidas a las páginas de inicio de sesión de Microsoft con la dirección de correo electrónico rellenada previamente en el formulario.

El uso de CDN de paquetes ofrece varios beneficios, el principal de los cuales es la capacidad de convertir un servicio de distribución legítimo en una infraestructura resistente a las retiradas. Además, permite a los atacantes cambiar fácilmente a los alias de otros editores y nombres de paquetes, incluso si se retiran las bibliotecas.

Se ha descubierto que los paquetes incorporan varias comprobaciones por parte del cliente para dificultar las tareas de análisis, como filtrar los bots, eludir los entornos limitados y requerir la intervención del ratón o del tacto antes de llevar a las víctimas a una infraestructura de recopilación de credenciales controlada por los actores de amenazas. El código JavaScript también está ofuscado o minimizado en gran medida para dificultar la inspección automatizada.

Otro control antianálisis crucial adoptado por el actor de amenazas se refiere al uso de campos de formulario tipo honeypot que están ocultos a la vista de los usuarios reales, pero que es probable que los rellenen los rastreadores. Este paso actúa como una segunda capa de defensa e impide que el ataque continúe.

Socket dijo que los dominios incluidos en estos paquetes se superponen con la infraestructura de suplantación de identidad de adversarios en el medio (AiTM) asociada a Evilginx , un kit de suplantación de identidad de código abierto.

Esta no es la primera vez que npm se transforma en una infraestructura de suplantación de identidad. En octubre de 2025, la empresa de seguridad de la cadena de suministro de software detallada una campaña denominada Beamglea en la que actores de amenazas desconocidos cargaron 175 paquetes maliciosos para atacar la recolección de credenciales. Se considera que la última ola de ataques es distinta de la de Beamglea.

«Esta campaña sigue el mismo manual básico, pero con diferentes mecánicas de entrega», afirma Socket. «En lugar de incluir un mínimo de scripts de redireccionamiento, estos paquetes ofrecen un flujo de suplantación de identidad autónomo y ejecutado por el navegador en forma de un paquete de HTML y JavaScript incrustado que se ejecuta cuando se carga en el contexto de una página».

Además, se ha descubierto que los paquetes de suplantación de identidad codifican 25 direcciones de correo electrónico vinculadas a personas específicas que trabajan en gerentes de cuentas, representantes de ventas y desarrollo empresarial en la fabricación, la automatización industrial, las cadenas de suministro de plásticos y polímeros y los sectores de la salud en Austria, Bélgica, Canadá, Francia, Alemania, Italia, Portugal, España, Suecia, Taiwán, Turquía, el Reino Unido y los EE. UU.

Actualmente se desconoce cómo los atacantes obtuvieron las direcciones de correo electrónico. Sin embargo, dado que muchas de las empresas atacadas se reúnen en las principales ferias comerciales internacionales, como Interpack y K-Fair, se sospecha que los autores de las amenazas podrían haber extraído la información de estos sitios y combinarla con un reconocimiento general de la web abierta.

«En varios casos, las ubicaciones objetivo difieren de las sedes corporativas, lo que concuerda con el enfoque del actor de amenazas en el personal de ventas regional, los gerentes nacionales y los equipos comerciales locales, y no solo en la TI corporativa», afirma la empresa.

Para contrarrestar el riesgo que representa la amenaza, es esencial aplicar una verificación de dependencias estricta, registrar las solicitudes de CDN inusuales procedentes de contextos no relacionados con el desarrollo, aplicar la autenticación multifactor (MFA) resistente a la suplantación de identidad y supervisar los eventos sospechosos posteriores a la autenticación.

El desarrollo se produce cuando Socket dijo que había observado un aumento constante del malware destructivo en los índices de los módulos npm, PyPI, NuGet Gallery y Go, utilizando técnicas como la ejecución retrasada y los interruptores de eliminación controlados de forma remota para evadir la detección temprana y recuperar código ejecutable en tiempo de ejecución utilizando herramientas estándar como wget y curl.

«En lugar de cifrar discos o destruir archivos de forma indiscriminada, estos paquetes tienden a funcionar quirúrgicamente», dijo el investigador Kush Pandya dijo .

«Solo eliminan lo que es importante para los desarrolladores: los repositorios de Git, los directorios de origen, los archivos de configuración y las salidas de compilación de CI. A menudo combinan esta lógica con rutas de código que, de otro modo, serían funcionales y se ejecutan basándose en ganchos de ciclo de vida estándar, lo que significa que es posible que la propia aplicación nunca necesite importar o invocar el malware de forma explícita».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.