Paquetes legítimos convertidos en vector de ataque

Investigadores de seguridad han descubierto una campaña activa en la que dos paquetes npm y un conjunto de paquetes del ecosistema Go han sido comprometidos para distribuir un ladrón de información desarrollado en Python. Lo que hace especialmente relevante este ataque es que los actores responsables han optado por aprovechar las tareas de Visual Studio Code como mecanismo de ejecución, en lugar de recurrir a los métodos más habituales dentro del ciclo de vida de instalación de paquetes.

Esta decisión táctica no parece casual. Según el análisis publicado por JFrog, el objetivo sería mantener cierta compatibilidad con las restricciones de seguridad que npm introdujo en su versión 12, evitando así que los mecanismos de defensa más comunes detecten la actividad maliciosa durante la fase de instalación.

Un infostealer multiplataforma

Una vez ejecutado, el componente malicioso en Python actúa como un ladrón de información capaz de operar en los tres sistemas operativos mayoritarios: Windows, Linux y macOS. Este alcance multiplataforma amplía considerablemente la superficie de ataque y convierte la campaña en una amenaza relevante para equipos de desarrollo que trabajen en entornos heterogéneos.

El uso de paquetes aparentemente legítimos —previamente secuestrados o creados para imitar a otros reales— sigue siendo una de las técnicas más eficaces para introducir código malicioso en organizaciones que dependen de repositorios públicos de código abierto. El desarrollador instala lo que cree que es una dependencia fiable y, en ese momento, el atacante ya ha ganado presencia en el sistema.

Por qué las tareas de VS Code son un vector atractivo

Visual Studio Code permite definir tareas automatizadas que se ejecutan dentro del entorno del editor, a menudo con los permisos del usuario actual. Al inyectar configuraciones maliciosas en estos flujos de trabajo, los atacantes consiguen ejecución de código sin necesidad de explotar vulnerabilidades del sistema operativo ni de llamar a scripts de instalación que puedan ser monitorizados de forma más estricta. Es un método que combina discreción con efectividad en entornos de desarrollo activos.

Implicaciones para la cadena de suministro

Esta campaña refuerza la preocupación existente en torno a la seguridad de la cadena de suministro de software. Los registros públicos como npm o los módulos de Go son infraestructura crítica para millones de proyectos; cuando un paquete es comprometido, el daño potencial se multiplica a lo largo de todos sus consumidores. Verificar la integridad de las dependencias, restringir los orígenes permitidos y auditar regularmente los paquetes instalados son prácticas que cobran especial relevancia ante amenazas de este tipo.


¿Estás cubierto en DefensOps?

Aunque esta campaña no tiene CVE asignado, la actividad asociada —ejecución de código no autorizado, exfiltración de información y persistencia en el entorno de desarrollo— puede ser correlacionada mediante el motor de correlación genérico de DefensOps, disponible desde el plan Essential.

DefensOps monitoriza comportamientos anómalos en endpoints y entornos de desarrollo, permitiendo detectar patrones de ejecución inusuales incluso cuando el vector inicial es un paquete de software de terceros. La cobertura genérica vía correlación actúa como red de seguridad frente a amenazas emergentes que aún no tienen firma específica.

👉 Consulta los planes disponibles y solicita una demo en nuestra página de precios para ver cómo DefensOps puede proteger tu cadena de suministro de software.


Fuente: The Hacker News – Hijacked npm and Go Packages Use VS Code Tasks to Deploy Python Infostealer