«¡Ni siquiera es un virus!»: el nuevo ataque a npm se reveló más insidioso de lo que se pensaba
¿Por qué alguien se pasó dos años subiendo bolsas de basura a una plataforma?
La aparición de decenas de miles de paquetes falsos en el ecosistema npm se convirtió inesperadamente en una historia larga y difícil de explicar, que comenzó ya en 2024. Los especialistas advirtieron que al catálogo de bibliotecas de JavaScript se fueron sumando durante dos años enormes volúmenes de proyectos carentes de contenido, que no ejecutaban acciones maliciosas en la etapa de instalación, pero se expandían rápidamente, llenando los resultados de búsqueda de basura y generando carga en la infraestructura.
Según equipos de investigación de Endor Labs, Phylum y Sonatype, se trata de un esquema inusual en el que los autores emplean una sucesión de publicaciones automatizadas, creando decenas de miles de paquetes idénticos. En cada uno hay un mismo archivo que solo se activa cuando se ejecuta manualmente desde la consola. Tras el inicio, el script elimina un parámetro de protección en la configuración, genera un nombre y una versión aleatorios y luego publica otra biblioteca vacía en el registro común. El proceso se repite indefinidamente, asegurando un flujo constante de nuevas publicaciones con un intervalo de aproximadamente varios segundos.
Los autores de los informes señalan un rasgo característico de la campaña: la uniformidad de los nombres, formados con palabras indonesias. Esto permitió designar la ola de manera condicional como IndonesianFoods. Parte de los proyectos se refieren entre sí en las dependencias, lo que convierte la descarga de una de estas bibliotecas en la obtención de toda una red, multiplicando la carga de la red. Paquetes aislados contienen configuraciones para el protocolo Tea —un sistema descentralizado de recompensa para desarrolladores—, lo que apunta a un intento de obtener tokens digitales mediante el crecimiento artificial de las métricas de actividad.
En total se detectaron más de 67 000 publicaciones, incluidas variantes que usan otro conjunto de nombres: combinaciones aleatorias de palabras en inglés. Una actividad tan prolongada y persistente indica un proceso pensado y dirigido, en el que interviene un pequeño número de cuentas de npm. La ausencia de acciones maliciosas en la instalación permitía eludir las comprobaciones automáticas, ya que muchas herramientas de seguridad rastrean únicamente los eventos en la fase de instalación y el funcionamiento de los ganchos correspondientes.
Según representantes de empresas que estudian el suministro de software, esta campaña no tenía como objetivo el robo de datos ni obtener acceso a los equipos de los desarrolladores. La meta principal consistía en llenar masivamente el almacenamiento con objetos inútiles, lo que por sí mismo genera problemas para el ecosistema. También se destaca una debilidad de las herramientas de protección: les resulta difícil detectar amenazas que no se manifiestan en el momento de la instalación, sino tras la ejecución manual de archivos.
Los representantes de GitHub informaron que los paquetes detectados ya fueron eliminados y que las cuentas correspondientes fueron bloqueadas. La empresa declaró que seguirá vigilando este tipo de actividad con métodos automatizados y revisión manual, y también instó a la comunidad a informar sobre las infracciones.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!