Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

2000 millones de descargas de npm en peligro por culpa del malware criptográfico: una llamada de atención sobre Supply Chain del software de código abierto

Por Thao Duong, directora sénior de marketing de productos
Última actualización:
Comparte esta publicación

El 8 de septiembre de 2025, se descubrió que varios paquetes de npm de uso generalizado, entre ellos chalk, debug y color, habían sido comprometidos en lo que se está convirtiendo rápidamente en uno de los mayores incidentes de la cadena de suministro de código abierto hasta la fecha. En conjunto, estos paquetes suman más de 2000 millones de descargas semanales, lo que convierte este incidente en un problema de alto riesgo y de gran alcance.

A continuación explicamos qué ocurrió, cómo se llevó a cabo el ataque y cómo OPSWAT pueden ayudar a defenderse de amenazas similares en el futuro.

Resumen del ataque

El ataque comenzó con una campaña de phishing dirigida a un responsable del mantenimiento de uno de los paquetes de npm. Un correo electrónico falsificado procedente de support@npmjs.help (un dominio falso registrado apenas unos días antes del ataque) engañó a la víctima para que revelara sus credenciales. Una vez que obtuvieron acceso a la cuenta de npm del administrador, los atacantes publicaron versiones maliciosas de los paquetes.

Captura de pantalla de un correo electrónico de phishing que se hace pasar por npm y que atenta contra la seguridad de la cadena de suministro de código abierto con una solicitud falsa de actualización de la autenticación de dos factores
Fuente: https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised

El código inyectado era un malware de robo de criptomonedas creado específicamente para secuestrar transacciones de criptomonedas de los usuarios finales que interactuaban con monederos y aplicaciones descentralizadas (dApps).

Este incidente pone de manifiesto una vez más que la confianza en el código abierto puede convertirse en un arma en cualquier momento, tal y como ocurrió con el ataque a la cadena de suministro de ESLint en julio de 2025.

Técnicas de ataque utilizadas

1. Ejecución específica del navegador

El malware realizaba una comprobación del entorno para asegurarse de que solo se ejecutaba en los navegadores. En los servidores o en los procesos de CI/CD, permanecía inactivo, lo que dificultaba su detección.

2. API

La carga maliciosa se integró en las principales API web, entre las que se incluyen:

  • window.fetch
  • XMLHttpRequest
  • window.ethereum (proveedores de monederos electrónicos)

Esto permitió que el malware espiara, interceptara y modificara las solicitudes de red de forma silenciosa.

3. Secuestro de transacciones

Una vez instalado, el código malicioso fue más allá de la observación pasiva e interfirió activamente en la actividad relacionada con las criptomonedas. En concreto, escaneaba direcciones de monederos y datos de transacciones en múltiples cadenas de bloques, entre ellas Ethereum, Solana, Bitcoin, Tron, Litecoin y Bitcoin Cash.

A partir de ahí, la carga útil aplicó una técnica de sustitución:

  • Sustituyó las direcciones de monedero legítimas por otras controladas por los atacantes, utilizando direcciones similares generadas mediante comprobaciones de similitud (por ejemplo, la distancia de Levenshtein).
  • Esto supuso un traslado a 0xAbc123… podría convertirse silenciosamente en 0xAbc129… sin levantar sospechas.
  • Lo más importante es que el cambio se produjo antes de que el usuario firmara la transacción, por lo que, aunque la interfaz de usuario mostraba la dirección correcta, la solicitud firmada ya había sido modificada en segundo plano.

4. Evasión sigilosa

Los atacantes también incorporaron medidas para garantizar que su malware permaneciera oculto el mayor tiempo posible. En lugar de realizar cambios visibles que pudieran alertar a la víctima, la carga útil funcionaba de forma silenciosa en segundo plano:

  • Se evitó realizar cambios evidentes en la interfaz de usuario, por lo que las interfaces de los monederos no sufrieron modificaciones.
  • Permaneció en segundo plano, manteniendo sus scripts activos durante toda la sesión de navegación.
  • Se centró tanto en las autorizaciones como en las transferencias, lo que permitió no solo el robo de fondos, sino también la manipulación de los permisos de los monederos para su posterior uso indebido.

Por qué este ataque es tan peligroso

  • Una magnitud enorme: miles de millones de descargas semanales de los paquetes afectados.
  • Ataques entre cadenas: no se limitaron a Ethereum. Varias cadenas de bloques importantes se vieron afectadas.
  • Sin que los usuarios se dieran cuenta: las víctimas creían que estaban autorizando transacciones seguras.
  • Vulnerabilidad en el ecosistema: una cuenta de administrador comprometida tuvo repercusiones en todo el ecosistema de npm.

Respuesta OPSWAT

La tecnología OPSWAT , con la última versión de la base de datos, ya es capaz de detectar y señalar estos paquetes maliciosos.

OPSWAT que muestra un análisis de seguridad de la cadena de suministro de software con dos vulnerabilidades en paquetes de npm
Un ejemplo de cómo la lista OPSWAT enSupply Chain Software MetaDefender Supply Chain paquetes maliciosos: duckdb y ansi-regex.

La tecnología OPSWAT es una de las muchas soluciones y tecnologías de seguridad líderes en el sector disponibles en MetaDefender Core y MetaDefender Software Supply Chain:

  • Supervisión continua: supervisa repositorios como npm, PyPI y Maven en busca de cambios sospechosos.
  • Tecnología multianalítica y heurística: detecta malware ofuscado oculto en los paquetes.
  • Integración de CI/CD: bloquea las dependencias comprometidas antes de que se incorporen a las compilaciones.
  • Detección de datos confidenciales: OPSWAT Proactive DLP detecta datos confidenciales codificados (contraseñas, API , tokens, etc.) incrustados en el código fuente para evitar el acceso no autorizado.

Lo que debes hacer ahora

  • Dependencias de la auditoría: comprueba si hay paquetes npm afectados en tus proyectos.
  • Aumentar la concienciación sobre el phishing: formar a los desarrolladores y al personal de mantenimiento para que detecten los correos electrónicos falsos.
  • Automatiza la seguridad con OPSWAT MetaDefender Software Supply Chain: Obtenga visibilidad de los riesgos de su cadena de suministro de software mediante la supervisión continua de amenazas y vulnerabilidades.
  • Aplica medidas de seguridad estrictas para las cuentas: mantén la autenticación de dos factores (2FA) en todas las cuentas del registro de paquetes.

Puntos clave

  • Las cuentas de los administradores son objetivos prioritarios. Su seguridad es tu seguridad.
  • Los ataques a la cadena de suministro están aumentando: miles de millones de descargas pueden convertirse en armas al instante.
  • El seguimiento proactivo y las herramientas de «confianza cero», como MetaDefender Software Supply Chain , ya noSupply Chain opcionales, sino imprescindibles.

Reflexión final

Este incidente pone de manifiesto lo frágil que puede ser el ecosistema de código abierto cuando se ve comprometida una sola cuenta de un mantenedor de confianza. Con miles de millones de descargas en juego, las organizaciones deben reconocer que la seguridad de la cadena de suministro es tan fundamental como la seguridad de los terminales o de la red. La visibilidad proactiva, la supervisión continua y unas prácticas de seguridad sólidas constituyen la mejor defensa frente a la próxima vulneración de la seguridad del código abierto.

Más información sobre cómo OPSWAT y MetaDefender Software Supply Chain ayudan a proteger sus procesos de desarrollo y a defenderse de los ataques a la cadena de suministro de código abierto.

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.