Cuando un inicio de sesión sacude la web: Cómo se secuestraron 18 bibliotecas de JavaScript

Una ola de código malicioso infiltró temporalmente 18 bibliotecas muy populares de JavaScript en NPM, que juntas superan los 2 mil millones de descargas semanales. El ataque comenzó con un correo electrónico engañoso disfrazado de notificación oficial de NPM que pedía actualizar la autenticación de dos factores. El enlace llevaba a una página falsa que robaba un token de un solo uso. Con esas credenciales los atacantes accedieron a la cuenta del mantenedor, cambiaron el correo de recuperación y publicaron versiones modificadas de los paquetes.

El código insertado estaba diseñado para atacar a usuarios de criptomonedas. Podía interceptar la actividad de monederos en el navegador, manipular detalles de transacciones y desviar fondos a direcciones controladas por los atacantes. La empresa de seguridad Aikido detectó el problema con escaneos automáticos de repositorios. Los paquetes infectados fueron rápidamente limpiados, pero el incidente demostró lo sencillo que es convertir dependencias confiables en armas.

La fragilidad de la cadena de suministro

Expertos destacaron que los atacantes se limitaron a robar criptomonedas, aunque el acceso a estas bibliotecas podría haber tenido consecuencias mucho más graves. El caso revela la debilidad de un ecosistema donde enormes cantidades de software dependen de un puñado de voluntarios agotados. Cada nueva dependencia amplía la superficie de ataque y convierte el phishing contra un solo desarrollador en un riesgo global.

Lo que debe cambiar

Los investigadores piden reglas de publicación más estrictas. Las compilaciones deberían provenir únicamente de procesos de integración continua predecibles, mientras que las cargas ad hoc deben bloquearse. También se recomienda que los mantenedores usen métodos de autenticación resistentes al phishing, como llaves de seguridad físicas. Sin estas medidas la cadena de suministro de código abierto sigue siendo precaria. Este episodio recuerda que un solo correo de phishing exitoso puede sacudir toda la web.