Paquetes de npm vinculados a Corea del Norte se hacen pasar por herramientas de polyfill de Rollup para robar secretos de desarrolladores

Paquetes de npm vinculados a Corea del Norte se hacen pasar por herramientas de polyfill de Rollup para robar secretos de desarrolladores

      TL;DR Seis paquetes maliciosos de npm que imitan herramientas de polyfill de Rollup robaron credenciales de desarrolladores y habilitaron acceso remoto en una campaña vinculada a Lazarus. Los investigadores de seguridad de JFrog han identificado un conjunto de paquetes maliciosos de npm vinculados a actores de amenazas norcoreanos que suplantan herramientas legítimas de polyfill de Rollup para robar credenciales de desarrolladores y habilitar acceso remoto a máquinas comprometidas. Los paquetes, llamados “rollup-packages-polyfill-core” y “rollup-runtime-polyfill-core,” imitan el legítimo proyecto “rollup-plugin-polyfill-node” hasta en su descripción, metadatos del repositorio y estructura del paquete. Los seis paquetes de la campaña han sido eliminados desde entonces del registro de npm. El ataque utiliza una cadena de entrega en capas diseñada para evadir la detección. Los paquetes de primera etapa instalan dependencias ocultas de segunda etapa disfrazadas como utilidades SVG, que luego obtienen un objeto JSON de un servicio de alojamiento remoto y ejecutan la carga útil incrustada en él. JFrog dijo que la estructura, combinada con nombres similares, metadatos que parecen legítimos y verificaciones de entorno diseñadas para evitar sandboxes y plataformas de desarrollo en la nube, es consistente con campañas anteriores de npm vinculadas a Lazarus. Una vez que se ejecutan las etapas posteriores, el malware le da al atacante tanto capacidades de recopilación como de control en la máquina comprometida. La carga útil roba datos de navegadores web y billeteras de criptomonedas, captura contenido del portapapeles periódicamente y cosecha archivos que coinciden con extensiones específicas. También apunta a configuraciones de herramientas de desarrollo para VS Code, Windsurf y Cursor, junto con credenciales para AWS, Microsoft Azure, Google Gemini, Anthropic Claude y claves SSH. La campaña no es un incidente aislado. En abril, investigadores de Panther documentaron una operación sostenida de npm de Lazarus que publicó 108 paquetes maliciosos en 261 versiones para entregar BeaverTail y OtterCookie, dos familias de malware norcoreanas conocidas vinculadas a la campaña de Entrevista Contagiosa. Los últimos paquetes comparten características con OtterCookie, incluyendo el uso de una biblioteca de control de teclado y ratón bifurcada que permite sesiones de terminal remota interactivas, captura de pantallas y entrada de usuario simulada en máquinas Windows comprometidas. La divulgación llega junto a una ola más amplia de ataques a la cadena de suministro que apuntan a repositorios de paquetes de código abierto. Checkmarx, SafeDep y el investigador de AWS Chi Tran identificaron por separado grupos de paquetes maliciosos en npm y PyPI que roban credenciales de la nube, billeteras de criptomonedas, claves SSH y secretos de desarrolladores. Los plugins de Rollup se cargan comúnmente desde estaciones de trabajo de desarrolladores y tuberías de construcción de CI, entornos que han demostrado ser cada vez más vulnerables a compromisos de la cadena de suministro y que a menudo contienen acceso a activos sensibles, incluyendo código fuente, claves API y secretos de proyectos.

      

      

       Publicado el 3 de julio de 2026 - 4:55 pm UTC

      

       Volver arriba

Otros artículos

La Chevy Silverado EV es una de las mejores camionetas eléctricas jamás construidas, entonces, ¿por qué nadie la está comprando? La Chevy Silverado EV es una de las mejores camionetas eléctricas jamás construidas, entonces, ¿por qué nadie la está comprando? GM vendió aproximadamente 14,000 Silverado EV el año pasado, mientras que la versión a gasolina vende diez veces eso por trimestre, y una batería más barata aún está a dos años de distancia. El sueño del creador de Pegasus apunta a la nueva derecha de América Latina. El sueño del creador de Pegasus apunta a la nueva derecha de América Latina. Dream, fundada por el creador de Pegasus Shalev Hulio, tiene como objetivo a los gobiernos latinoamericanos alineados con Trump a medida que los ciberataques crecen un 25% anualmente en la región. Elon Musk refuta un informe que afirma que se está desarrollando un dispositivo de IA en SpaceX. Elon Musk refuta un informe que afirma que se está desarrollando un dispositivo de IA en SpaceX. Elon Musk ha calificado un informe del Wall Street Journal de "totalmente falso" después de que afirmara que SpaceX mostró a los inversores un dispositivo de IA similar a un teléfono antes de su salida a bolsa. Esta aplicación de identificación de flores convierte cada paseo en un Pokémon Go para plantas. Esta aplicación de identificación de flores convierte cada paseo en un Pokémon Go para plantas. flormie convierte la identificación de flores en un ciclo de colección al estilo de Pokémon Go más suave, dando a los usuarios de iPhone una razón para escanear, guardar y notar flores reales durante sus paseos diarios sin el habitual caos de los juegos sociales. Por qué construir IA para escuelas es más difícil que construir un chatbot: dentro del enfoque de Smartschool para la preparación de exámenes Por qué construir IA para escuelas es más difícil que construir un chatbot: dentro del enfoque de Smartschool para la preparación de exámenes Smartschool, una startup de edtech de Palo Alto fundada por tres emprendedores polacos, construyó un motor de razonamiento matemático propietario que logra un 99.6 por ciento de precisión en matemáticas de secundaria, logrando su adopción en 30 distritos escolares de EE. UU., incluyendo la ciudad de Nueva York y Boston. Alibaba prohíbe Claude Code por seguimiento oculto de usuarios chinos Alibaba prohíbe Claude Code por seguimiento oculto de usuarios chinos Alibaba clasificó el Claude Code de Anthropic como software de alto riesgo después de que los investigadores encontraran marcadores esteganográficos que señalizaban a los usuarios chinos por zona horaria y proxy.

Paquetes de npm vinculados a Corea del Norte se hacen pasar por herramientas de polyfill de Rollup para robar secretos de desarrolladores

Paquetes npm maliciosos que imitan las herramientas de polyfill de Rollup roban datos del navegador, billeteras de criptomonedas y credenciales de herramientas de IA en una campaña vinculada a Lazarus.