36 paquetes en npm comprometidos en ataque a la cadena de suministro
Un programa malicioso llamado IronWorm comprometió 36 paquetes del repositorio npm. Los proyectos que instalaron estas dependencias pueden tener el programa activo en sus equipos de desarrollo.
Qué ocurrió
Un atacante comprometió 36 paquetes en npm —el repositorio de componentes de código más usado por desarrolladores de Node.js— e inyectó en ellos un programa malicioso llamado IronWorm diseñado para robar información del equipo donde se instala. La infección ocurre en el momento en que el desarrollador instala o actualiza una dependencia comprometida. El paquete parece legítimo: viene del repositorio oficial.
Quién está expuesto
Para organizaciones
Empresas con equipos de desarrollo que usan Node.js y tienen proyectos con dependencias instaladas desde npm. El riesgo es mayor en equipos que actualizaron dependencias recientemente sin revisar cambios inesperados en los paquetes.
A considerar
- Validar si alguno de los 36 paquetes comprometidos aparece en las dependencias directas o transitivas de proyectos activos.
- Si alguno está presente, asumir que el equipo donde fue instalado puede haber estado comprometido y evaluar la rotación de credenciales utilizadas desde ese entorno.
- Revisar accesos recientes a repositorios, servicios en la nube y sistemas internos desde equipos potencialmente afectados.
Impacto potencial
Un programa de robo de información activo en un equipo de desarrollo puede extraer credenciales, tokens de API, claves de configuración y sesiones activas. Con esos datos, el atacante puede acceder a repositorios corporativos, servicios en la nube y sistemas de producción. El riesgo es especialmente relevante porque la infección llega a través de una dependencia aparentemente legítima obtenida desde el repositorio oficial.
Leer fuente original →