Los investigadores de ciberseguridad han detectado un nuevo conjunto de paquetes que han sido comprometidos por malos actores para entregar un gusano autopropagante que se propaga a través de tokens npm de desarrollador robados.

El gusano de la cadena de suministro ha sido detectado por ambos Enchufe y PasoSeguridadcon las empresas rastreando la actividad bajo el nombre RecipienteExpansión debido al uso de un recipiente de PIC para exfiltrar los datos robados, en una táctica que recuerda al CanisterWorm de TeamPCP para hacer que la infraestructura sea resistente a los derribos.

La lista de paquetes afectados se encuentra a continuación:

• @automagik/genie (4.260421.33 – 4.260421.40)
• @fairwords/loopback-connector-es (1.4.3 – 1.4.4)
• @fairwords/websocket (1.0.38 – 1.0.39)
• @openwebconcept/design-tokens (1.0.1 – 1.0.3)
• @openwebconcept/tema-owc (1.0.1 – 1.0.3)
• pgserve (1.1.11 – 1.1.14)

El malware se activa durante el tiempo de instalación a través de un enlace posterior a la instalación para robar credenciales y secretos de los entornos de desarrollo, y luego aprovecha los tokens npm robados para enviar versiones envenenadas de los paquetes al registro con un nuevo enlace posterior a la instalación malicioso para ampliar el alcance de la campaña.

La información capturada incluye:

• .npmrc
• Claves SSH y configuraciones SSH
• .git-credenciales
• .netrc
• credenciales de nube para Amazon Web Services, Google Cloud y Microsoft Azure
• Configuraciones de Kubernetes y Docker
• Material de Terraform, Pulumi y Vault
• Archivos de contraseña de base de datos
• Archivos .env* locales
• Archivos de historial de Shell

Además, intenta acceder a credenciales de navegadores web basados ​​en Chromium y a datos asociados con aplicaciones de extensión de billeteras de criptomonedas. La información se extrae a un webhook HTTPS («telemetry.api-monitor[.]com») y un recipiente ICP («cjn37-uyaaa-aaaac-qgnva-cai.raw.icp0[.]io»).

«También contiene lógica de propagación PyPI», dijo Socket. «El script genera una carga útil basada en Python .pth diseñada para ejecutarse cuando se inicia Python, luego prepara y carga paquetes Python maliciosos con Twine si las credenciales requeridas están presentes».

«En otras palabras, esto no es sólo un ladrón de credenciales. Está diseñado para convertir un entorno de desarrollador comprometido en compromisos de paquetes adicionales».

La divulgación se produce cuando JFrog reveló que varias versiones del paquete legítimo de Python «xinference» (2.6.0, 2.6.1 y 2.6.2) han sido comprometidas para incluir una carga útil codificada en Base64 que recupera un módulo recopilador de segunda etapa responsable de recolectar una amplia gama de credenciales y secretos del host infectado.

«La carga útil decodificada se abre con el comentario ‘# hackeado por teampcp’, el mismo marcador de actor visto en compromisos recientes de TeamPCP», dijo la compañía. dicho. Sin embargo, en una publicación compartida en X, TeamPCP cuestionadoestaban detrás del compromiso y afirmaron que era obra de un imitador.

Ataques dirigidos a npm y PyPI

Los hallazgos son las últimas incorporaciones a una larga lista de ataques dirigidos al ecosistema de código abierto. Esto incluye dos paquetes maliciosos, cada uno en npm (kube-health-tools) y PyPI (kube-node-health), que se hacen pasar por utilidades de Kubernetes, pero instalan silenciosamente un binario basado en Go para establecer un proxy SOCKS5, un proxy inverso, un servidor SFTP y un proxy de modelo de lenguaje grande (LLM) en la máquina de la víctima.

El proxy LLM es una puerta de enlace API compatible con OpenAI que acepta solicitudes y las enruta a API ascendentes, incluidos enrutadores LLM chinos como shubiaobiao.

«Más allá de proporcionar acceso barato a la IA, los enrutadores LLM como el implementado aquí se encuentran en un límite de confianza del que se puede abusar fácilmente», Ilyas Makari, investigador de Aikido Security dicho. «Debido a que cada solicitud pasa a través del enrutador en texto plano, un operador malintencionado puede […] inyecta llamadas de herramientas maliciosas en las respuestas de los agentes de codificación antes de que lleguen al cliente, introduciendo instalaciones maliciosas de pip o curl | cargas útiles de bash en pleno vuelo.»

Alternativamente, el enrutador se puede utilizar para extraer secretos de los cuerpos de solicitud y respuesta, incluidas claves API, credenciales de AWS, tokens de GitHub, claves privadas de Ethereum y mensajes del sistema.

Otra campaña sostenida de ataque a la cadena de suministro de npm documentado by Panther se ha hecho pasar por el proveedor de seguros telefónicos Asurion y sus subsidiarias, publicando paquetes maliciosos (sbxapps, asurion-hub-web, soluto-home-web y asurion-core) del 1 al 8 de abril de 2026, que contienen un recolector de credenciales de múltiples etapas.

Las credenciales robadas fueron exfiltradas inicialmente a un webhook de Slack y luego a un punto final de AWS API Gateway («pbyi76s0e9.execute-api.us-east-1.amazonaws[.]com»). Para el 7 de abril, se dice que la URL de exfiltración de AWS se ha ofuscado utilizando la codificación XOR.

Por último, pero no menos importante, Wiz, la empresa de seguridad en la nube propiedad de Google. arrojar luz en una campaña impulsada por inteligencia artificial (IA) denominada prt-scan que ha explotado sistemáticamente el activador del flujo de trabajo de GitHub Actions «pull_request_target» desde el 11 de marzo de 2026, para robar secretos de los desarrolladores.

Se ha descubierto que el atacante, que opera con las cuentas testingbefore, beforetested-boop, 420tb, 69tf420, elzotebo y ezmtebo, busca repositorios usando el activador, bifurca esos repositorios, crea una rama con una convención de nomenclatura predefinida (es decir, prt-scan-{12-hex-chars}), inyecta una carga útil maliciosa en un archivo que se ejecuta durante la CI, abre un pull solicitar y luego robar las credenciales del desarrollador cuando se activa el flujo de trabajo y publicar una versión del paquete malicioso si se descubren tokens npm.

«En más de 450 intentos de explotación analizados, hemos observado una tasa de éxito <10%», dijeron los investigadores de Wiz. «En la mayoría de los casos, los ataques exitosos fueron contra pequeños proyectos de aficionados y solo expusieron credenciales efímeras de GitHub para el flujo de trabajo. En su mayor parte, esta campaña no otorgó al atacante acceso a la infraestructura de producción, credenciales de la nube o claves API persistentes, salvo excepciones menores».

«La campaña demuestra que, si bien las vulnerabilidades pull_request_target siguen siendo explotables a escala, las prácticas modernas de seguridad de CI/CD, en particular los requisitos de aprobación de los contribuyentes, son efectivas para proteger repositorios de alto perfil».