← Alertas
Otro Activa

TrapDoor: ataque coordinado envenena paquetes de software en npm, PyPI y Crates.io

Campaña activa desde el 22 de mayo distribuye malware de robo de credenciales a través de 34 paquetes maliciosos publicados simultáneamente en los tres registros de software más usados. Cualquier equipo de desarrollo con proyectos en JavaScript, Python o Rust está en riesgo.

2026-05-25 · The Hacker News

Contexto

El 22 de mayo se detectó TrapDoor. Una campaña coordinada de ataque a la cadena de suministro de software. No apunta a las empresas directamente. Apunta a las herramientas que sus equipos usan para construir sus sistemas.

Los atacantes publicaron más de 34 paquetes maliciosos simultáneamente. En tres registros distintos: npm para JavaScript, PyPI para Python, Crates.io para Rust. Más de 384 versiones distribuidas en oleadas. Cada paquete roba credenciales.

El mecanismo es el mismo en los tres ecosistemas. El desarrollador instala el paquete. A veces porque tiene un nombre casi idéntico al de una librería legítima. A veces porque se cuela como dependencia de otro paquete. A veces simplemente aparece en los resultados de búsqueda. Se instala. El malware corre en segundo plano. Las credenciales salen.

Impacto potencial

El objetivo no es el usuario final. Es el desarrollador. Una sola máquina comprometida puede dar acceso a toda la infraestructura del negocio. Los desarrolladores trabajan con credenciales amplias. Eso es lo que se roba.

Si el atacante llega a las credenciales de producción, puede eliminar datos. Puede tomar control de sistemas. Puede interrumpir el servicio. Para empresas con clientes que dependen de esos sistemas, la interrupción es responsabilidad contractual directa.

Para agencias y consultoras, el riesgo escala. Las credenciales comprometidas pueden incluir acceso a infraestructura de varios clientes. El incidente deja de ser interno. Afecta a múltiples organizaciones. Los clientes pueden reclamar.

Recomendaciones

Leer fuente original →