Los paquetes de npm vinculados a Corea del Norte suplantan herramientas de polyfill de Rollup para robar secretos de desarrolladores.
TL;DR Seis paquetes maliciosos de npm que imitan herramientas de polyfill de Rollup robaron credenciales de desarrolladores y habilitaron acceso remoto en una campaña vinculada a Lazarus. Los investigadores de seguridad de JFrog han identificado un conjunto de paquetes maliciosos de npm vinculados a actores de amenazas norcoreanos que suplantan herramientas legítimas de polyfill de Rollup para robar credenciales de desarrolladores y habilitar acceso remoto a máquinas comprometidas. Los paquetes, llamados “rollup-packages-polyfill-core” y “rollup-runtime-polyfill-core,” imitan el proyecto legítimo “rollup-plugin-polyfill-node” hasta en su descripción, metadatos del repositorio y estructura del paquete. Todos los seis paquetes de la campaña han sido eliminados del registro de npm. El ataque utiliza una cadena de entrega en capas diseñada para evadir la detección. Los paquetes de primera etapa instalan dependencias ocultas de segunda etapa disfrazadas como utilidades SVG, que luego obtienen un objeto JSON de un servicio de alojamiento remoto y ejecutan la carga útil incrustada en él. JFrog dijo que la estructura, combinada con nombres similares, metadatos que parecen legítimos y verificaciones de entorno diseñadas para evitar sandboxes y plataformas de desarrollo en la nube, es consistente con campañas anteriores de npm vinculadas a Lazarus. Una vez que se ejecutan las etapas posteriores, el malware le da al atacante tanto capacidades de recopilación como de control en la máquina comprometida. La carga útil roba datos de navegadores web y billeteras de criptomonedas, captura el contenido del portapapeles periódicamente y cosecha archivos que coinciden con extensiones específicas. También apunta a configuraciones de herramientas de desarrollo para VS Code, Windsurf y Cursor, junto con credenciales para AWS, Microsoft Azure, Google Gemini, Anthropic Claude y claves SSH. La campaña no es un incidente aislado. En abril, investigadores de Panther documentaron una operación sostenida de npm de Lazarus que publicó 108 paquetes maliciosos en 261 versiones para entregar BeaverTail y OtterCookie, dos familias de malware norcoreanas conocidas vinculadas a la campaña Contagious Interview. Los últimos paquetes comparten características con OtterCookie, incluyendo el uso de una biblioteca de control de teclado y ratón bifurcada que permite sesiones interactivas de terminal remoto, captura de pantalla e input simulado del usuario en máquinas Windows comprometidas. La divulgación llega junto a una ola más amplia de ataques a la cadena de suministro que apuntan a repositorios de paquetes de código abierto. Checkmarx, SafeDep y el investigador de AWS Chi Tran identificaron por separado grupos de paquetes maliciosos en npm y PyPI que roban credenciales de la nube, billeteras de criptomonedas, claves SSH y secretos de desarrolladores. Los plugins de Rollup se cargan comúnmente desde estaciones de trabajo de desarrolladores y pipelines de construcción de CI, entornos que han demostrado ser cada vez más vulnerables a compromisos de la cadena de suministro y que a menudo tienen acceso a activos sensibles, incluyendo código fuente, claves API y secretos de proyectos.
Publicado el 3 de julio de 2026 - 4:55 pm UTC
Volver arriba
Otros artículos
Los paquetes de npm vinculados a Corea del Norte suplantan herramientas de polyfill de Rollup para robar secretos de desarrolladores.
Paquetes npm maliciosos que imitan las herramientas de polyfill de Rollup roban datos del navegador, billeteras criptográficas y credenciales de herramientas de IA en una campaña vinculada a Lazarus.
