El ecosistema de software de código abierto, una vez considerado un bastión del desarrollo colaborativo, se ha convertido en un objetivo cada vez más atractivo para los ciberdelincuentes que buscan infiltrarse en las cadenas de suministro y comprometer los sistemas posteriores.
El análisis reciente realizado durante el segundo trimestre de 2025 revela que los actores de amenaza están explotando persistentemente vulnerabilidades en repositorios de paquetes populares para distribuir malware, exfiltrar datos confidenciales y establecer puntos de apoyo persistentes en entornos de víctimas.
Esta tendencia alarmante representa un cambio fundamental en la metodología de ataque, donde los actores maliciosos aprovechan el inherente que los desarrolladores de confianza colocan en los paquetes de terceros para evitar los controles de seguridad tradicionales.
El alcance de este paisaje de amenaza es vasto y creciente. Durante el segundo trimestre de 2025, las plataformas de detección de amenazas automatizadas escanearon más de 1.4 millones de npm (administrador de paquetes de nodo) y 400,000 paquetes de PYPI (índice de paquetes Python), descubriendo un número sustancial de paquetes maliciosos integrados dentro de estos repositorios.
Los vectores de ataque empleados por estos actores de amenaza demuestran una comprensión sofisticada de los flujos de trabajo de desarrollo de software, explotando los procesos de instalación automatizados que ocurren cuando los desarrolladores integran nuevas dependencias en sus proyectos.
setup.py de simple-mali-pkg-0.1.0 (fuente-fortinet)
Analistas de Fortinet identificado Varios paquetes de Pypi maliciosos durante este período, incluyendo simple-mali-pkg-0.1.0, confighum-0.3.5, sinontop-uTils-0.3.5, solana-sdkpy-1.2.5 y solana-sdkpy-1.2.6, junto con el paquete NPM postcssss-theme-vars-7.0.7.
Mali.py de Simple-Mali-PKG-0.1.0 (fuente-Fortinet)
Estos paquetes sirven como ejemplos representativos de las tácticas en evolución empleadas por los actores de amenaza, que combinan técnicas tradicionales de malware con métodos de explotación de la cadena de suministro para maximizar su impacto y evadir la detección.
Descifrado Mali.py indicando el robo de datos y billeteras personales (fuente – Fortinet)
Mecanismos de ofuscación y ejecución del código
La sofisticación técnica de estos paquetes maliciosos es particularmente notable en el uso de técnicas de ofuscación de varias capas diseñadas para ocultar la intención maliciosa de las herramientas de escaneo automatizadas y los analistas humanos.
El paquete simple-mali-pkg-0.1.0 demuestra este enfoque a través de su archivo setup.py, que ejecuta un archivo sospechoso de mali.py durante la instalación utilizando el siguiente mecanismo:–
Mali_Path = OS.Path.Join (OS.Path.Dirname (OS.Path.Abspath (__ file__)), “Mali.py”) subprocess.call ((sys.executable, mali_path), shell = true)
Este archivo Mali.py contiene un código muy cifrado que utiliza docenas de capas de cifrado, comenzando con funciones de Lambda ofuscadas que descomprimen los datos codificados Base64.
Del mismo modo, el paquete PostCSS-Theme-Vars-7.0.7 NPM emplea técnicas de ofuscación de JavaScript, ocultando la funcionalidad maliciosa dentro de un archivo llamado engañoso.
Tras una desobfuscación exitosa, estos paquetes revelan capacidades integrales de exfiltración de datos que se dirigen a las credenciales del navegador, las billeteras de criptomonedas y los documentos confidenciales, al tiempo que implementan la funcionalidad de keylogging y captura de capturas de captura de capturas para transmitir datos capturados a servidores controlados por atacantes.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
