Repositorios de código abierto como infraestructura de phishing: el caso de los paquetes npm maliciosos

Los marcos de seguridad tradicionales continúan dejando a las organizaciones expuestas a vectores de ataque específicos de inteligencia artificial y a amenazas modernas de supply chain. Campañas recientes demuestran que repositorios de código abierto pueden ser abusados no solo para distribuir malware, sino como infraestructura de phishing resiliente, aprovechando la confianza implícita en ecosistemas de desarrollo ampliamente adoptados.

Detalles de la campaña de paquetes npm

Ciberinvestigadores de Socket revelaron una operación de spear-phishing activa durante cinco meses que publicó 27 paquetes maliciosos en npm*, utilizando seis alias diferentes.

La campaña estuvo dirigida específicamente a personal de ventas en sectores como manufactura, automatización industrial, plásticos y salud, principalmente en Estados Unidos y países aliados.

Paquetes con nombres como onedrive-verification, secure-docs-app y sync365 no requerían ser instalados. En su lugar, abusaban de la infraestructura CDN de npm para hospedar contenido HTML y JavaScript que imitaba portales de documentos y páginas de inicio de sesión de Microsoft.

El flujo era simple pero efectivo:

1. El objetivo accedía al enlace del paquete.

2. Se mostraba una página falsa de documentos o login corporativo.

3. El usuario era redirigido a dominios controlados por los atacantes, con el email ya prellenado para aumentar la tasa de éxito.

Técnicas de evasión y persistencia

La campaña destacó por un conjunto de técnicas diseñadas para evadir detección automática y análisis de seguridad:

• Chequeos client-side para filtrar bots, sandboxes y crawlers.

• Requerimientos de interacción humana (movimiento de mouse o touch).

• Campos honeypot ocultos para detectar análisis automatizado.

• JavaScript ofuscado y minificado, dificultando la inspección manual.

Además, los dominios y flujos de autenticación coincidían con infraestructura Adversary-in-the-Middle basada en Evilginx, un kit de phishing open source ampliamente usado para eludir MFA tradicional.

El uso de CDNs legítimos resulta clave: esta infraestructura es altamente resiliente frente a takedowns, permitiendo a los atacantes rotar rápidamente entre alias y paquetes sin interrumpir la campaña.

Contexto: escalamiento del riesgo en la supply chain

A diferencia de campañas masivas previas como Beamglea, que llegó a publicar 175 paquetes en octubre de 2025, esta operación fue altamente dirigida. Atacó únicamente 25 direcciones de correo electrónico hardcodeadas, pertenecientes a gerentes y perfiles clave en 13 países.

Este enfoque refuerza una tendencia preocupante: el uso de repositorios de desarrollo como vectores de phishing selectivo, combinando ingeniería social, confianza en el open source y evasión avanzada.

En paralelo, el aumento de malware destructivo en ecosistemas como npm y PyPI —con ejecución diferida, kill switches y activación condicional— subraya que el riesgo ya no es hipotético, sino operativo.

Recomendaciones para mitigar el riesgo

Para organizaciones y equipos de desarrollo, las medidas defensivas deben evolucionar:

• Verificación estricta de dependencias y análisis continuo de paquetes, incluso sin instalación.

• Logging y detección de requests CDN inusuales desde entornos corporativos.

• Implementación de MFA resistente a phishing (FIDO2, passkeys).

• Monitoreo post-autenticación para detectar uso anómalo de sesiones válidas.

• Integración de threat intelligence específica de ecosistemas de desarrollo.

La seguridad ya no termina en el código que se ejecuta. En un entorno donde los repositorios se convierten en plataformas de ataque, proteger la cadena de suministro del software es una prioridad estratégica.