Cuando un inicio de sesión sacude la web: Cómo se secuestraron 18 bibliotecas de JavaScript

watch 1m, 35s
views 2

15:16, 11.09.2025

Contenido del artículo
arrow

  • La fragilidad de la cadena de suministro
  • Lo que debe cambiar

Una ola de código malicioso infiltró temporalmente 18 bibliotecas muy populares de JavaScript en NPM, que juntas superan los 2 mil millones de descargas semanales. El ataque comenzó con un correo electrónico engañoso disfrazado de notificación oficial de NPM que pedía actualizar la autenticación de dos factores. El enlace llevaba a una página falsa que robaba un token de un solo uso. Con esas credenciales los atacantes accedieron a la cuenta del mantenedor, cambiaron el correo de recuperación y publicaron versiones modificadas de los paquetes.

El código insertado estaba diseñado para atacar a usuarios de criptomonedas. Podía interceptar la actividad de monederos en el navegador, manipular detalles de transacciones y desviar fondos a direcciones controladas por los atacantes. La empresa de seguridad Aikido detectó el problema con escaneos automáticos de repositorios. Los paquetes infectados fueron rápidamente limpiados, pero el incidente demostró lo sencillo que es convertir dependencias confiables en armas.

La fragilidad de la cadena de suministro

Expertos destacaron que los atacantes se limitaron a robar criptomonedas, aunque el acceso a estas bibliotecas podría haber tenido consecuencias mucho más graves. El caso revela la debilidad de un ecosistema donde enormes cantidades de software dependen de un puñado de voluntarios agotados. Cada nueva dependencia amplía la superficie de ataque y convierte el phishing contra un solo desarrollador en un riesgo global.

Lo que debe cambiar

Los investigadores piden reglas de publicación más estrictas. Las compilaciones deberían provenir únicamente de procesos de integración continua predecibles, mientras que las cargas ad hoc deben bloquearse. También se recomienda que los mantenedores usen métodos de autenticación resistentes al phishing, como llaves de seguridad físicas. Sin estas medidas la cadena de suministro de código abierto sigue siendo precaria. Este episodio recuerda que un solo correo de phishing exitoso puede sacudir toda la web.

Compartir

¿Te ha resultado útil este artículo?

Ofertas populares de VPS

-10%

CPU
CPU
3 Xeon Cores
RAM
RAM
1 GB
Space
Space
20 GB SSD
Bandwidth
Bandwidth
Unlimited
KVM-SSD 1024 Linux

6.6 /mes

/mes

Facturado cada 12 meses

-10%

CPU
CPU
6 Xeon Cores
RAM
RAM
8 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
Unlimited
KVM-SSD 8192 Linux

25.85 /mes

/mes

Facturado cada 12 meses

-10%

CPU
CPU
8 Epyc Cores
RAM
RAM
32 GB
Space
Space
200 GB NVMe
Bandwidth
Bandwidth
Unlimited
KVM-NVMe 32768 Linux

96.8 /mes

/mes

Facturado cada 12 meses

-12.8%

CPU
CPU
3 Xeon Cores
RAM
RAM
1 GB
Space
Space
50 GB SSD
Bandwidth
Bandwidth
1 TB
wKVM-SSD 1024 Metered Windows

17 /mes

/mes

Facturado cada 12 meses

-21%

CPU
CPU
6 Xeon Cores
RAM
RAM
8 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
8 TB
wKVM-SSD 8192 Metered Windows

65 /mes

/mes

Facturado cada 12 meses

-10%

CPU
CPU
2 Xeon Cores
RAM
RAM
512 MB
Space
Space
10 GB SSD
Bandwidth
Bandwidth
Unlimited
KVM-SSD 512 Linux

5.2 /mes

/mes

Facturado cada 12 meses

-10%

CPU
CPU
4 Xeon Cores
RAM
RAM
8 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
Unlimited
10Ge-KVM-SSD 8192 Linux

115.5 /mes

/mes

Facturado cada 12 meses

-10%

CPU
CPU
10 Epyc Cores
RAM
RAM
64 GB
Space
Space
400 GB NVMe
Bandwidth
Bandwidth
Unlimited
KVM-NVMe 65536 Linux

187 /mes

/mes

Facturado cada 12 meses

-10%

CPU
CPU
4 Xeon Cores
RAM
RAM
2 GB
Space
Space
30 GB SSD
Bandwidth
Bandwidth
Unlimited
10Ge-KVM-SSD 2048 Linux

30.3 /mes

/mes

Facturado cada 12 meses

-4.5%

CPU
CPU
4 Xeon Cores
RAM
RAM
4 GB
Space
Space
100 GB HDD
Bandwidth
Bandwidth
300 Gb
wKVM-HDD HK 4096 Windows

17.07 /mes

/mes

Facturado cada 12 meses

Otros artículos sobre este tema

cookie

¿Acepta las cookies y la política de privacidad?

Utilizamos cookies para asegurar que damos la mejor experiencia en nuestro sitio web. Si continúa sin cambiar la configuración, asumiremos que acepta recibir todas las cookies del sitio web HostZealot.