Paquetes falsos de conectores de pago en NPM y PyPI robaron credenciales de desarrolladores
Investigadores encontraron 17 paquetes falsos en los repositorios NPM y PyPI que se hacían pasar por conectores oficiales de plataformas de pago para robar contraseñas, llaves de API y tokens de acceso a servicios en la nube. Los afectados son equipos de desarrollo que integraron estos paquetes en plataformas de comercio electrónico, criptomonedas o trading en línea. Quien instaló alguno debe rotar de inmediato sus credenciales y revisar sus registros de actividad.
Qué ocurrió
Investigadores identificaron 17 paquetes maliciosos (13 en el repositorio NPM y 4 en PyPI) que se hacían pasar por conectores oficiales de plataformas de pago en línea como Paysafe, Skrill y Neteller. Estos paquetes falsos contenían código que buscaba contraseñas, llaves de API y tokens de acceso guardados en el entorno donde se instalaban, y enviaba esa información a servidores controlados por los atacantes.
Quién está expuesto
Equipos de desarrollo que integraron alguno de estos paquetes en plataformas de comercio electrónico, videojuegos en línea, criptomonedas o trading. El riesgo es directo para quien instaló el paquete, no para los usuarios finales de esas plataformas.
A considerar
Rotar de inmediato todas las credenciales que hayan estado presentes en el entorno donde se instaló el paquete: contraseñas, llaves de API y tokens de acceso a servicios en la nube, GitHub o npm. Revisar el árbol de dependencias del proyecto y los registros de integración continua para confirmar si el paquete llegó a ejecutarse.
Impacto potencial
Con las credenciales robadas, un atacante puede acceder a cuentas de servicios en la nube, repositorios de código o sistemas de pago conectados al proyecto, lo que abre la puerta a fraude financiero o filtración de información adicional.
Leer fuente original →