Operaciones continuas de phishing dirigidas a los desarrolladores y al ecosistema de NPM
3 de octubre de 2025
Por Samantha Clarke, Hiwot Mendahun y el equipo de investigación de amenazas de Mimecast
- Se han identificado dos campañas importantes centradas en npm como parte de un panorama de amenazas más amplio: en julio, "(mantenimiento de cuentas)" y, en septiembre, "(actualización de seguridad de la autenticación de dos factores)" (operaciones)
- Estas campañas de npm suponen una intensificación de los ataques dirigidos contra infraestructuras críticas de desarrollo que utilizan software de código abierto
- 14 de septiembre de 2025: "Shai-Hulud": distribución de un gusano autorreplicante relacionada con credenciales sustraídas
- El gusano se infiltró en más de 180 paquetes de npm mediante la replicación autónoma, lo que demuestra su evolución desde el robo de credenciales hasta el malware de la cadena de suministro
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast lleva desde julio de 2025 realizando un seguimiento activo de una campaña de ataques en varias fases dirigida al ecosistema de npm. Nuestra investigación pone de manifiesto una evolución desde los ataques de phishing destinados a la obtención de credenciales hasta el ataque de compromiso de la cadena de suministro de "Shai-Hulud", que tuvo lugar el 14 de septiembre de 2025. Gracias a un seguimiento continuo de las amenazas, hemos identificado dos importantes campañas de phishing que precedieron directamente a la compromisión a gran escala de paquetes de npm.
Cronología de la campaña seguida por Mimecast
Julio de 2025 - Campaña de mantenimiento de cuentas: La primera actividad de phishing dirigida a npm que se detectó tuvo lugar en julio de 2025, utilizando "una campaña de mantenimiento de cuentas" como señuelo de ingeniería social. Estas campañas redirigían a los desarrolladores a dominios que se aprovechaban de errores ortográficos y que imitaban la infraestructura legítima de npm, dirigiéndose a los responsables del mantenimiento de los paquetes con notificaciones urgentes sobre el mantenimiento de sus cuentas.
- Argumento utilizado: Requisitos de mantenimiento y verificación de la cuenta
- Método de distribución: correos electrónicos de phishing que se hacen pasar por comunicaciones oficiales de npm
- Objetivo: La sustracción de credenciales dirigida a cuentas de administradores de gran valor
- Infraestructura: dominios objeto de «typosquatting» , entre ellos npnjs.com
Campaña de actualización de seguridad: a principios de septiembre se observó un recrudecimiento de la actividad, con una campaña más sofisticada que aprovechaba los enlaces engañosos de la actualización de seguridad de la autenticación de dos factores (2FA) de "" . Esta campaña puso de manifiesto técnicas avanzadas de evasión y mensajes personalizados diseñados específicamente para aprovecharse de los desarrolladores preocupados por la seguridad.
- Escaño utilizado: Actualizaciones obligatorias de la autenticación de dos factores (2FA) y requisitos de cumplimiento de las normas de seguridad
- Método de distribución: correos electrónicos de phishing que se hacen pasar por comunicaciones oficiales de npm
- Objetivo: Recopilación de credenciales a gran escala previa a la implementación en la cadena de suministro
14 de septiembre de 2025 - Despliegue de Shai-Hulud La culminación de estas operaciones de recopilación de credenciales dio lugar al despliegue del gusano autorreplicante Shai-Hulud" de ". Utilizando cuentas comprometidas en campañas de phishing anteriores, los autores de las amenazas desplegaron un malware autónomo que se propagó por todo el ecosistema de npm sin necesidad de intervención humana adicional.
- Vector de ataque: cuentas de administradores comprometidas a raíz de campañas de phishing anteriores
- Carga útil: gusano autorreplicante que utiliza scripts maliciosos posteriores a la instalación (bundle.js)
- Alcance: Inicialmente , 18 paquetes específicos, que se ampliarán a más de 180 mediante la replicación autónoma
- Capacidades: Robo de credenciales en múltiples vectores (tokens de npm, credenciales de GitHub, secretos de plataformas en la nube)
Protección de Mimecast
Las capacidades avanzadas de detección de amenazas de Mimecast han identificado y bloqueado con éxito estas campañas gracias a múltiples capas de protección.
Destinatarios
Región y sector: Orientación global con efectos concentrados en organizaciones tecnológicas que dependen en gran medida de los paquetes npm, entre las que se incluyen empresas de tecnología financiera, tecnología sanitaria y desarrollo de software empresarial.
El objetivo principal son los profesionales del desarrollo de software en diversas plataformas, siendo los responsables del mantenimiento de npm objetivos de gran valor debido a su acceso a la cadena de suministro. Entre los destinatarios secundarios se encuentran los ingenieros de DevOps, los profesionales de la seguridad y los equipos de desarrollo empresarial que gestionan las dependencias de las infraestructuras críticas.
Indicadores de compromiso (IOC)
Infraestructura específica de NPM
- npnjs.com (dominio principal objeto de typosquatting)
- npm-security.com (infraestructura secundaria de phishing)
- npmjs.help (página de robo de credenciales)
- npmjs-security.org (página dedicada al robo de credenciales)
Recomendaciones
Medidas inmediatas:
- Informar a los usuarios sobre las amenazas presentes en npm, OAuth, las plataformas SaaS y la infraestructura de desarrollo, incluyendo tácticas específicas como el mantenimiento de cuentas, las actualizaciones de seguridad y la suplantación de identidad en las plataformas
- Establecer protocolos para verificar de forma independiente las comunicaciones críticas en todas las plataformas de desarrollo
Detección proactiva de amenazas:
- Busque en los registros de recibos de correo electrónico y en los registros de URL los indicadores técnicos relacionados con estas campañas
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!