Una campaña de phishing denominada Beamglea está explotando componentes legítimos de la ecosistema JavaScript —el repositorio npm y el CDN unpkg— para entregar páginas fraudulentas mediante simples redirecciones en lugar de código malicioso tradicional. Esta táctica reduce la eficacia de los controles basados en reputación y firma, ya que el tráfico a plataformas confiables suele estar permitido en redes corporativas.
Cómo funciona la cadena de ataque con npm y el CDN unpkg
De acuerdo con análisis de Socket, todo paquete publicado en npm queda disponible de forma inmediata a través de unpkg[.]com mediante HTTPS. Los actores crean series de paquetes con el patrón de nombre redirect-[a-z0-9]{6} y distribuyen a las víctimas archivos HTML señuelo disfrazados de pedidos de compra, especificaciones técnicas o documentación de proyectos. Al abrirlos, el navegador carga el JavaScript del paquete vía CDN y ejecuta una redirección hacia un dominio de phishing.
Para aumentar la credibilidad, el correo electrónico de la víctima se pasa en el fragmento de la URL y se autorrellena en el campo de inicio de sesión de la página falsa. Se han observado más de 630 HTML únicos con el metatag de campaña nb830r6x.
Alcance, objetivos y estadísticas de Beamglea
La firma Safety identificó inicialmente 120 paquetes orientados al fraude a finales de septiembre. Desde entonces, el número superó los 175, según Socket, con más de 26.000 descargas acumuladas (parte atribuibles a investigadores y escáneres automáticos).
Los ataques apuntan a más de 135 organizaciones de los sectores energético, industrial y tecnológico. Entre las marcas citadas se encuentran Algodue, ArcelorMittal, Demag Cranes, D-Link, H2 Systems, Moxa, Piusi, Renishaw, Sasol, Stratasys y ThyssenKrupp Nucera. La geografía observada se concentra en Europa Occidental, con actividad también en Europa del Norte y APAC.
Automatización: generación masiva de paquetes y señuelos HTML
La campaña se apoya en scripts en Python que validan la sesión del autor, inyectan el email y la URL de phishing en un plantilla JavaScript (beamglea_template.js), crean el package.json, publican el paquete en npm y producen el archivo HTML que lo referencia vía CDN. Este flujo tipo “pipeline” facilita la emisión de artefactos desechables, complica los bloqueos por indicadores únicos y acelera la rotación de infraestructura.
Artefactos relacionados y abuso de plataformas confiables
Investigadores de Snyk hallaron además paquetes npm con prefijo mad-* que muestran un patrón similar: en un caso, una “verificación de seguridad de Cloudflare” falsa redirige de forma silenciosa a una dirección obtenida desde un archivo remoto en GitHub. Aunque no existe confirmación de vínculo directo con Beamglea, las tácticas coinciden en el aprovechamiento de servicios de confianza para alojar y distribuir contenido.
Por qué es difícil de detectar y bloquear
El principal vector de éxito es la cobertura de reputación: el tráfico hacia unpkg y npm suele estar permitido por políticas corporativas, y los paquetes contienen solo redirecciones, no payloads maliciosos evidentes. Los controles basados en firma, listas de bloqueo de dominios y filtrado tradicional de adjuntos pierden eficacia cuando la infraestructura y los objetos aparentan legitimidad.
Recomendaciones de mitigación y detección
Medidas prácticas y IoC
– Contener adjuntos HTML: abrir .html recibidos por correo en sandbox/VDI; aplicar reglas para bloquear o reescribir adjuntos .html.
– Refuerzo de CSP: imponer Content Security Policy estricta en portales y apps internas; limitar fuentes de scripts a listas de confianza y, si es posible, prohibir carga desde CDNs fuera del allowlist.
– Telemetría y hunting: monitorizar accesos a unpkg[.]com, buscar patrones redirect-* e indicadores como nb830r6x; correlacionar con aperturas de adjuntos HTML y redirecciones no interactivas.
– Higiene de correo: DMARC, SPF y DKIM correctamente alineados; filtrado de enlaces y adjuntos; detección de inconsistencias en
