Paquetes falsos en npm imitan herramientas populares de CSS para instalar acceso remoto en equipos de desarrollo
Tres paquetes maliciosos en npm se hacen pasar por variantes de PostCSS — una librería con más de 127 millones de descargas semanales — para instalar un programa de control remoto en equipos Windows de desarrollo. El programa persiste después de reiniciar el equipo. Equipos con proyectos web que instalaron paquetes npm en el último mes deben verificar si alguno de los tres está presente.
Qué ocurrió
Tres paquetes maliciosos publicados en npm — el registro de paquetes más usado por desarrolladores web — se hacían pasar por variantes de PostCSS, una herramienta legítima con más de 127 millones de descargas semanales. Los paquetes (postcss-minify-selector, postcss-minify-selector-parser y aes-decode-runner-pro) instalaban silenciosamente un programa de control remoto que persiste en el equipo después de apagarlo y reiniciarlo, con capacidad de shell remoto, transferencia de archivos y registro del sistema.
Quién está expuesto
Equipos de desarrollo con Windows que instalaron alguno de los tres paquetes en las últimas semanas. El perfil objetivo es cualquier proyecto web que use PostCSS como herramienta de construcción — práctica estándar en proyectos con frameworks modernos de JavaScript.
A considerar
Verificar el historial de instalaciones: npm list postcss-minify-selector postcss-minify-selector-parser aes-decode-runner-pro en cada equipo de desarrollo. Si aparece cualquiera de ellos, tratar el equipo como comprometido y rotar todas las credenciales almacenadas o accesibles desde esa máquina antes de continuar.
Impacto potencial
Un atacante con acceso remoto al equipo de un desarrollador puede llegar a repositorios de código, credenciales de acceso a servidores, tokens de API y cualquier sistema al que ese equipo tenga acceso autorizado. La puerta de entrada es un paquete; la superficie afectada es todo lo que ese desarrollador puede alcanzar.
Leer fuente original →