Paquetes npm y Go comprometidos instalan un infostealer Python
Resumen rápido
Investigadores de seguridad han identificado paquetes npm y Go maliciosos que utilizan las tareas de VS Code para desplegar un ladrón de información escrito en Python. El ataque afecta a sistemas Windows, Linux y macOS, y está diseñado para eludir los controles de seguridad introducidos en versiones recientes de npm. La cadena de suministro de software vuelve a ser el vector elegido por los atacantes para comprometer entornos de desarrollo.
Paquetes legítimos convertidos en vector de ataque
Investigadores de seguridad han descubierto una campaña activa en la que dos paquetes npm y un conjunto de paquetes del ecosistema Go han sido comprometidos para distribuir un ladrón de información desarrollado en Python. Lo que hace especialmente relevante este ataque es que los actores responsables han optado por aprovechar las tareas de Visual Studio Code como mecanismo de ejecución, en lugar de recurrir a los métodos más habituales dentro del ciclo de vida de instalación de paquetes.
Esta decisión táctica no parece casual. Según el análisis publicado por JFrog, el objetivo sería mantener cierta compatibilidad con las restricciones de seguridad que npm introdujo en su versión 12, evitando así que los mecanismos de defensa más comunes detecten la actividad maliciosa durante la fase de instalación.
Un infostealer multiplataforma
Una vez ejecutado, el componente malicioso en Python actúa como un ladrón de información capaz de operar en los tres sistemas operativos mayoritarios: Windows, Linux y macOS. Este alcance multiplataforma amplía considerablemente la superficie de ataque y convierte la campaña en una amenaza relevante para equipos de desarrollo que trabajen en entornos heterogéneos.
El uso de paquetes aparentemente legítimos —previamente secuestrados o creados para imitar a otros reales— sigue siendo una de las técnicas más eficaces para introducir código malicioso en organizaciones que dependen de repositorios públicos de código abierto. El desarrollador instala lo que cree que es una dependencia fiable y, en ese momento, el atacante ya ha ganado presencia en el sistema.
Por qué las tareas de VS Code son un vector atractivo
Visual Studio Code permite definir tareas automatizadas que se ejecutan dentro del entorno del editor, a menudo con los permisos del usuario actual. Al inyectar configuraciones maliciosas en estos flujos de trabajo, los atacantes consiguen ejecución de código sin necesidad de explotar vulnerabilidades del sistema operativo ni de llamar a scripts de instalación que puedan ser monitorizados de forma más estricta. Es un método que combina discreción con efectividad en entornos de desarrollo activos.
Implicaciones para la cadena de suministro
Esta campaña refuerza la preocupación existente en torno a la seguridad de la cadena de suministro de software. Los registros públicos como npm o los módulos de Go son infraestructura crítica para millones de proyectos; cuando un paquete es comprometido, el daño potencial se multiplica a lo largo de todos sus consumidores. Verificar la integridad de las dependencias, restringir los orígenes permitidos y auditar regularmente los paquetes instalados son prácticas que cobran especial relevancia ante amenazas de este tipo.
¿Estás cubierto en DefensOps?
Aunque esta campaña no tiene CVE asignado, la actividad asociada —ejecución de código no autorizado, exfiltración de información y persistencia en el entorno de desarrollo— puede ser correlacionada mediante el motor de correlación genérico de DefensOps, disponible desde el plan Essential.
DefensOps monitoriza comportamientos anómalos en endpoints y entornos de desarrollo, permitiendo detectar patrones de ejecución inusuales incluso cuando el vector inicial es un paquete de software de terceros. La cobertura genérica vía correlación actúa como red de seguridad frente a amenazas emergentes que aún no tienen firma específica.
👉 Consulta los planes disponibles y solicita una demo en nuestra página de precios para ver cómo DefensOps puede proteger tu cadena de suministro de software.
Fuente: The Hacker News – Hijacked npm and Go Packages Use VS Code Tasks to Deploy Python Infostealer
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
- Cobertura genérica vía motor de correlación · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.