Campaña Miasma: la cadena de suministro npm bajo ataque activo

El equipo de seguridad de Microsoft ha destapado una campaña activa, bautizada como Miasma, que ha conseguido inyectar código malicioso en más de veinte paquetes publicados en el registro público de npm. El objetivo declarado de los atacantes no es interrumpir servicios ni cifrar datos: es quedarse con las credenciales silenciosamente y, a partir de ellas, escalar el compromiso hacia otros mantenedores del ecosistema.

Cómo funciona el ataque

Los paquetes afectados incluyen componentes pertenecientes a los proyectos Leo Platform y RStreams, dos ecosistemas utilizados habitualmente en entornos de integración y procesamiento de datos. Una vez que un desarrollador instala o actualiza una versión troyanizada, el código malicioso entra en ejecución de forma automática durante el proceso de instalación, aprovechando los scripts de ciclo de vida de npm (preinstall, postinstall) para recopilar y exfiltrar secretos almacenados en el entorno del desarrollador: tokens de API, claves de acceso a servicios cloud y credenciales de repositorios, entre otros.

Lo especialmente preocupante de Miasma es su carácter autopropagante a nivel de mantenedor: una vez obtenidas las credenciales de un desarrollador con permisos de publicación, los atacantes pueden envenenar paquetes adicionales bajo el mismo ámbito, multiplicando la superficie de exposición sin necesidad de explotar ninguna vulnerabilidad técnica adicional.

Por qué es relevante para los equipos de IT y seguridad

Este tipo de ataque a la cadena de suministro de software es particularmente difícil de detectar con controles tradicionales porque:

  • El paquete aparece como legítimo en el registro oficial (npm no valida el contenido del código).
  • La ejecución maliciosa ocurre en el entorno del desarrollador, no en producción, lo que la aleja del radar de muchos SIEM orientados a infraestructura.
  • Las credenciales robadas pueden explotarse días o semanas después del compromiso inicial, dificultando la correlación forense.

Las organizaciones que no auditan sus dependencias de forma continua ni monitorizan el comportamiento de los procesos de instalación de paquetes quedan especialmente expuestas.

Recomendaciones inmediatas

  1. Auditar el árbol de dependencias de todos los proyectos que consuman paquetes de Leo Platform o RStreams y verificar los hashes de las versiones instaladas contra los publicados oficialmente por los mantenedores legítimos.
  2. Rotar credenciales de cualquier entorno de desarrollo en el que se hayan instalado paquetes npm en las últimas semanas sin validación previa.
  3. Activar la verificación de integridad mediante lockfiles (package-lock.json o yarn.lock) y considerar el uso de herramientas como Socket.dev o Sigstore para verificar la procedencia de los paquetes.
  4. Limitar los permisos de publicación a npm mediante tokens de alcance restringido y activar la autenticación multifactor en todas las cuentas de mantenedor.
  5. Revisar las variables de entorno y los almacenes de secretos accesibles desde los pipelines de CI/CD.

Fuente

  • The Register – Miasma campaign poisons 20-plus npm packages, hunts for developer secrets: https://www.theregister.com/security/2026/06/26/miasma-campaign-poisons-20-plus-npm-packages-hunts-for-developer-secrets/5262886

¿Estás cubierto en DefensOps?

Aunque la campaña Miasma no tiene CVEs asignados hasta la fecha, la naturaleza del ataque —ejecución de código en el entorno del desarrollador, exfiltración de credenciales y movimiento lateral a través de cuentas de publicación— genera patrones de comportamiento anómalos que pueden correlacionarse de forma efectiva.

DefensOps Essential incluye cobertura genérica a través de su motor de correlación, que permite detectar actividad sospechosa asociada a procesos de instalación de dependencias, accesos inusuales a variables de entorno y comunicaciones de red no esperadas originadas en entornos de desarrollo. Aunque las técnicas MITRE específicas de esta campaña aún están siendo catalogadas, el motor de correlación de DefensOps está preparado para identificar los indicadores de comportamiento característicos de los ataques a la cadena de suministro.

¿Quieres saber exactamente qué cubriría tu plan actual ante amenazas como Miasma?

👉 Consulta los planes y solicita una demo en DefensOps