Masiva Brecha de Seguridad en NPM: Troyanos RAT Infectan 17 Paquetes Populares de GlueStack

CyberSecureFox 馃

El ecosistema NPM ha sufrido una de las brechas de seguridad m谩s significativas del 2025 tras el descubrimiento de que ciberdelincuentes lograron infiltrar 17 paquetes populares del proyecto GlueStack @react-native-aria con troyanos de acceso remoto (RAT). Esta sofisticada campa帽a maliciosa ha impactado a m谩s de un mill贸n de descargas, estableciendo un precedente alarmante para la seguridad de la cadena de suministro de software.

Descubrimiento y Alcance del Compromiso de Seguridad

Los investigadores de Aikido Security fueron los primeros en identificar esta amenaza cr铆tica, detectando c贸digo malicioso fuertemente ofuscado integrado en los archivos lib/index.js de los paquetes afectados. La magnitud del ataque se vuelve evidente al considerar que estos paquetes comprometidos registran aproximadamente 1.02 millones de descargas semanales, exponiendo a una vasta comunidad de desarrolladores JavaScript a riesgos de seguridad sin precedentes.

La cronolog铆a del ataque revela una ejecuci贸n meticulosamente planificada que se inici贸 el 6 de junio de 2025 con la publicaci贸n de la versi贸n infectada del paquete @react-native-aria/focus. En un per铆odo relativamente corto, los atacantes consiguieron comprometer 17 de los 20 paquetes del ecosistema GlueStack, demostrando un nivel de coordinaci贸n y preparaci贸n que sugiere la participaci贸n de un grupo criminal organizado.

An谩lisis T茅cnico del C贸digo Malicioso

El examen forense del malware revela t茅cnicas de ocultaci贸n extremadamente sofisticadas. Los ciberdelincuentes insertaron el c贸digo malicioso en las l铆neas finales de los archivos fuente, precedido por m煤ltiples espacios en blanco para dificultar su detecci贸n visual en las p谩ginas de NPM. Esta estrategia, combinada con niveles avanzados de ofuscaci贸n, permiti贸 que el malware evadiera tanto la inspecci贸n manual como los sistemas automatizados de detecci贸n de amenazas.

Los patrones identificados en este c贸digo malicioso muestran similitudes notables con troyanos utilizados en ataques previos contra la cadena de suministro de NPM, lo que indica la operaci贸n de un grupo criminal persistente con metodolog铆as establecidas y en constante evoluci贸n.

Capacidades Destructivas del Trojan RAT

El trojan de acceso remoto implementado presenta un arsenal completo de funcionalidades maliciosas dise帽adas para el control total de sistemas comprometidos. Una vez activado, establece comunicaci贸n cifrada con servidores de comando y control, aguardando instrucciones para ejecutar diversas operaciones en las m谩quinas infectadas.

Una caracter铆stica particularmente peligrosa del malware es su capacidad para alterar la variable de entorno PATH del sistema, insertando una ruta falsa (%LOCALAPPDATA%\Programs\Python\Python3127) al inicio de la lista de directorios. Esta manipulaci贸n permite al trojan interceptar llamadas a Python y pip, ejecutando binarios maliciosos en lugar de las herramientas leg铆timas del desarrollador.

Respuesta de la Industria y Medidas Correctivas

Los intentos iniciales de Aikido Security para contactar al equipo de GlueStack a trav茅s de issues en GitHub no obtuvieron respuesta inmediata, subrayando la importancia cr铆tica de canales de comunicaci贸n eficientes para reportes de seguridad en proyectos de c贸digo abierto.

Tras la notificaci贸n oficial a los administradores de NPM y la cobertura medi谩tica del incidente, el equipo de GlueStack implement贸 medidas de emergencia: revocaron el token de acceso comprometido y marcaron las versiones infectadas como obsoletas. Sin embargo, la eliminaci贸n completa de las versiones problem谩ticas result贸 imposible debido a dependencias existentes en otros proyectos activos.

Conexiones con Campa帽as de Ataque Previas

Los analistas de ciberseguridad han establecido conexiones entre este incidente y el mismo grupo criminal responsable de comprometer cuatro paquetes NPM adicionales: biatec-avm-gas-station, cputil-node, lfwfinance/sdk y lfwfinance/sdk-dev. Esta correlaci贸n evidencia una campa帽a sistem谩tica y coordinada dirigida espec铆ficamente contra bibliotecas JavaScript populares.

Este incidente refuerza la necesidad imperativa de implementar estrategias robustas de seguridad en la cadena de suministro de software. Los desarrolladores deben establecer procesos rigurosos de auditor铆a de dependencias, implementar herramientas de monitoreo continuo de seguridad y mantener actualizadas 煤nicamente las versiones verificadas de paquetes de fuentes confiables. Las organizaciones requieren sistemas de defensa multicapa y protocolos de respuesta r谩pida para mitigar eficazmente estas amenazas emergentes.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende c贸mo se procesan los datos de tus comentarios.