← Alertas
Terceros Alto Activa

36 paquetes en npm comprometidos en ataque a la cadena de suministro

Un programa malicioso llamado IronWorm comprometió 36 paquetes del repositorio npm. Los proyectos que instalaron estas dependencias pueden tener el programa activo en sus equipos de desarrollo.

2026-06-04 · BleepingComputer

Qué ocurrió

Un atacante comprometió 36 paquetes en npm —el repositorio de componentes de código más usado por desarrolladores de Node.js— e inyectó en ellos un programa malicioso llamado IronWorm diseñado para robar información del equipo donde se instala. La infección ocurre en el momento en que el desarrollador instala o actualiza una dependencia comprometida. El paquete parece legítimo: viene del repositorio oficial.

Quién está expuesto

Para organizaciones

Empresas con equipos de desarrollo que usan Node.js y tienen proyectos con dependencias instaladas desde npm. El riesgo es mayor en equipos que actualizaron dependencias recientemente sin revisar cambios inesperados en los paquetes.

A considerar

Impacto potencial

Un programa de robo de información activo en un equipo de desarrollo puede extraer credenciales, tokens de API, claves de configuración y sesiones activas. Con esos datos, el atacante puede acceder a repositorios corporativos, servicios en la nube y sistemas de producción. El riesgo es especialmente relevante porque la infección llega a través de una dependencia aparentemente legítima obtenida desde el repositorio oficial.

Leer fuente original →