Los investigadores de ciberseguridad han detectado un nuevo conjunto de paquetes que han sido comprometidos por malos actores para entregar un gusano autopropagante que se propaga a través de tokens npm de desarrollador robados.
El gusano de la cadena de suministro ha sido detectado tanto por Socket como por StepSecurity, y las empresas rastrean la actividad con el nombre RecipienteExpansión debido al uso de un recipiente ICP para filtrar los datos robados, en una táctica que recuerda al CanisterWorm de TeamPCP para hacer que la infraestructura sea resistente a los derribos.
La lista de paquetes afectados se encuentra a continuación:
- @automagik/genie (4.260421.33 – 4.260421.40)
- @fairwords/loopback-connector-es (1.4.3 – 1.4.4)
- @fairwords/websocket (1.0.38 – 1.0.39)
- @openwebconcept/design-tokens (1.0.1 – 1.0.3)
- @openwebconcept/tema-owc (1.0.1 – 1.0.3)
- pgserve (1.1.11 – 1.1.14)
El malware se activa durante el tiempo de instalación a través de un enlace posterior a la instalación para robar credenciales y secretos de los entornos de desarrollo, y luego aprovecha los tokens npm robados para enviar versiones envenenadas de los paquetes al registro con un nuevo enlace posterior a la instalación malicioso para ampliar el alcance de la campaña.
La información capturada incluye:
- .npmrc
- Claves SSH y configuraciones SSH
- .git-credenciales
- .netrc
- credenciales de nube para Amazon Web Services, Google Cloud y Microsoft Azure
- Configuraciones de Kubernetes y Docker
- Material de Terraform, Pulumi y Vault
- Archivos de contraseña de base de datos
- Archivos .env* locales
- Archivos de historial de Shell
Además, intenta acceder a credenciales de navegadores web basados en Chromium y a datos asociados con aplicaciones de extensión de billeteras de criptomonedas. La información se extrae a un webhook HTTPS (“telemetry.api-monitor(.)com”) y un recipiente ICP (“cjn37-uyaaa-aaaac-qgnva-cai.raw.icp0(.)io”).
“También contiene lógica de propagación PyPI”, dijo Socket. “El script genera una carga útil basada en Python .pth diseñada para ejecutarse cuando se inicia Python, luego prepara y carga paquetes Python maliciosos con Twine si las credenciales requeridas están presentes”.
“En otras palabras, esto no es sólo un ladrón de credenciales. Está diseñado para convertir un entorno de desarrollador comprometido en compromisos de paquetes adicionales”.
La divulgación se produce cuando JFrog reveló que varias versiones del paquete legítimo de Python “xinference” (2.6.0, 2.6.1 y 2.6.2) han sido comprometidas para incluir una carga útil codificada en Base64 que recupera un módulo recopilador de segunda etapa responsable de recolectar una amplia gama de credenciales y secretos del host infectado.
“La carga útil decodificada se abre con el comentario ‘# hackeado por teampcp’, el mismo marcador de actor visto en recientes compromisos de TeamPCP”, dijo la compañía. Sin embargo, en una publicación compartida en X, TeamPCP cuestionó que estuvieran detrás del compromiso y afirmó que era obra de un imitador.
Ataques dirigidos a npm y PyPI
Los hallazgos son las últimas incorporaciones a una larga lista de ataques dirigidos al ecosistema de código abierto. Esto incluye dos paquetes maliciosos, cada uno en npm (kube-health-tools) y PyPI (kube-node-health), que se hacen pasar por utilidades de Kubernetes, pero instalan silenciosamente un binario basado en Go para establecer un proxy SOCKS5, un proxy inverso, un servidor SFTP y un proxy de modelo de lenguaje grande (LLM) en la máquina de la víctima.
El proxy LLM es una puerta de enlace API compatible con OpenAI que acepta solicitudes y las enruta a API ascendentes, incluidos enrutadores LLM chinos como shubiaobiao.
“Más allá de proporcionar acceso barato a la IA, los enrutadores LLM como el implementado aquí se encuentran en un límite de confianza del que se abusa fácilmente”, dijo el investigador de Aikido Security, Ilyas Makari. “Debido a que cada solicitud pasa a través del enrutador en texto sin formato, un operador malintencionado puede (…) inyectar llamadas de herramientas maliciosas en las respuestas de los agentes de codificación antes de que lleguen al cliente, introduciendo cargas útiles maliciosas de pip install o curl | bash en pleno vuelo”.
Alternativamente, el enrutador se puede utilizar para extraer secretos de los cuerpos de solicitud y respuesta, incluidas claves API, credenciales de AWS, tokens de GitHub, claves privadas de Ethereum y mensajes del sistema.
Otra campaña sostenida de ataque a la cadena de suministro de npm documentada por Panther se ha hecho pasar por el proveedor de seguros telefónicos Asurion y sus subsidiarias, publicando paquetes npm maliciosos (sbxapps, asurion-hub-web, soluto-home-web y asurion-core) desde el 1 de abril hasta el 8 de abril de 2026, que contienen un recolector de credenciales de varias etapas.
Las credenciales robadas fueron exfiltradas inicialmente a un webhook de Slack y luego a un punto final de AWS API Gateway (“pbyi76s0e9.execute-api.us-east-1.amazonaws(.)com”). Para el 7 de abril, se dice que la URL de exfiltración de AWS se había ofuscado utilizando la codificación XOR.
Por último, pero no menos importante, Wiz, la empresa de seguridad en la nube propiedad de Google, arrojó luz sobre una campaña impulsada por inteligencia artificial (IA) denominada prt-scan que ha explotado sistemáticamente el activador del flujo de trabajo de GitHub Actions “pull_request_target” desde el 11 de marzo de 2026, para robar secretos de los desarrolladores.
Se ha descubierto que el atacante, que opera con las cuentas testingbefore, beforetested-boop, 420tb, 69tf420, elzotebo y ezmtebo, busca repositorios usando el activador, bifurca esos repositorios, crea una rama con una convención de nomenclatura predefinida (es decir, prt-scan-{12-hex-chars}), inyecta una carga útil maliciosa en un archivo que se ejecuta durante la CI, abre un pull solicitar y luego robar las credenciales del desarrollador cuando se activa el flujo de trabajo y publicar una versión del paquete malicioso si se descubren tokens npm.
“En más de 450 intentos de explotación analizados, hemos observado una
“La campaña demuestra que, si bien las vulnerabilidades pull_request_target siguen siendo explotables a escala, las prácticas modernas de seguridad de CI/CD, en particular los requisitos de aprobación de los contribuyentes, son efectivas para proteger repositorios de alto perfil”.
