{"id":1218,"date":"2026-06-17T08:48:43","date_gmt":"2026-06-17T08:48:43","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/17\/144-paquetes-de-mastra-npm-comprometidos-a-traves-de-una-cuenta-de-colaborador-secuestrada-cyberdefensa-mx\/"},"modified":"2026-06-17T08:48:43","modified_gmt":"2026-06-17T08:48:43","slug":"144-paquetes-de-mastra-npm-comprometidos-a-traves-de-una-cuenta-de-colaborador-secuestrada-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/17\/144-paquetes-de-mastra-npm-comprometidos-a-traves-de-una-cuenta-de-colaborador-secuestrada-cyberdefensa-mx\/","title":{"rendered":"144 paquetes de Mastra npm comprometidos a trav\u00e9s de una cuenta de colaborador secuestrada \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Hasta paquetes de 144 npm asociados con el mastra<\/a> El espacio de nombres (\u00ab@mastra\/*\u00bb), un popular marco JavaScript y TypeScript de c\u00f3digo abierto para crear aplicaciones de inteligencia artificial (IA), se ha visto comprometido como parte de un ataque a la cadena de suministro de software con nombre en c\u00f3digo. d\u00eda-f\u00e1cil-js<\/b>seg\u00fan los hallazgos de JFrog<\/a>, SafeDep<\/a>, Enchufe<\/a>y PasoSeguridad<\/a>.<\/p>\n

\u00abUna sola cuenta npm (ehindero) public\u00f3 en masa m\u00e1s de 140 paquetes maliciosos en todo el \u00e1mbito de Mastra en un breve per\u00edodo el 17 de junio de 2026\u00bb, dijo Socket.<\/p>\n

Los paquetes infectados en s\u00ed no incluyen c\u00f3digo malicioso. En cambio, se introduce mediante una biblioteca de terceros llamada \u00abeasy-day-js\u00bb que se ha agregado a la lista de dependencias de cada paquete. La biblioteca JavaScript fue publicada por un usuario de npm llamado \u00absergey2016\u00bb el 16 de junio de 2026 a las 7:05 a. m. UTC como una copia limpia y completamente funcional, y los cambios maliciosos se introdujeron el 17 de junio de 2026 a la 1:01 a. m. UTC.<\/p>\n

El paquete \u00abeasy-day-js\u00bb lanza una carga \u00fatil ofuscada que se activa durante un enlace posterior a la instalaci\u00f3n, que act\u00faa como un gotero o cargador para una carga \u00fatil de segunda etapa recuperada de la infraestructura controlada por el atacante (\u00ab23.254.164[.]92\u00bb) despu\u00e9s de deshabilitar la validaci\u00f3n del certificado TLS.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Luego, la carga \u00fatil se ejecuta como un proceso en segundo plano independiente, tras lo cual el cargador toma medidas para borrarse a s\u00ed mismo y minimizar el rastro forense.<\/p>\n

La etapa final es un ladr\u00f3n de informaci\u00f3n multiplataforma que puede recopilar el historial del navegador, almacenar datos de m\u00e1s de 160 extensiones de navegador de billeteras de criptomonedas, instalar persistencia en Windows, macOS y Linux, y filtrar la informaci\u00f3n capturada al servidor C2 (\u00ab23.254.164[.]123\u00bb).<\/p>\n

En su an\u00e1lisis, SafeDep describi\u00f3 \u00abeasy-day-js\u00bb como un clon de la biblioteca de fechas \u00abdayjs\u00bb que descarga y ejecuta un troyano de acceso remoto que roba criptomonedas. Se dice que los atacantes detr\u00e1s de la campa\u00f1a secuestraron la cuenta de \u00abehindero\u00bb, un ex colaborador leg\u00edtimo de Mastra cuyo acceso nunca fue revocado. Desde entonces, Npm elimin\u00f3 las versiones maliciosas de los paquetes de m\u00e1s alto perfil y revirti\u00f3 su \u00faltima etiqueta.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Fuente de la imagen: StepSecurity<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

\u00abMastra env\u00eda sus lanzamientos reales de CI a trav\u00e9s del flujo de editores confiables de npm, y cada uno lleva certificaciones de procedencia SLSA\u00bb, dijo SafeDep. \u00abEl atacante empuj\u00f3 las versiones maliciosas desde un token personal y elimin\u00f3 la procedencia\u00bb.<\/p>\n

\u00abLa misma huella digital se repite en todo el alcance. Mastra gener\u00f3 procedencia en las publicaciones de CI pero no la requiri\u00f3, por lo que un token npm est\u00e1ndar a\u00fan podr\u00eda publicarse sin atestaciones. Una instalaci\u00f3n de verificaci\u00f3n de firmas (firmas de auditor\u00eda de npm o una pol\u00edtica que requiere atestaciones) habr\u00eda rechazado todos los paquetes en esta ola\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Cualquier estaci\u00f3n de trabajo, ejecutor de CI o entorno de compilaci\u00f3n que haya instalado las versiones afectadas debe tratarse como potencialmente comprometido. Se recomienda volver a una versi\u00f3n segura, rotar las credenciales y auditar los hosts en busca de artefactos vinculados a la campa\u00f1a.<\/p>\n

\u00abLos paquetes afectados incluyen @mastra\/core, que recibe m\u00e1s de 918.000 descargas semanales de npm, lo que le da a esta campa\u00f1a un gran radio potencial de explosi\u00f3n\u00bb, dijo Socket. \u00abDebido a que la carga \u00fatil se ejecuta durante la instalaci\u00f3n, los sistemas pueden quedar expuestos antes de que los desarrolladores importen o utilicen el paquete\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Hasta paquetes de 144 npm asociados con el mastra El espacio de nombres (\u00ab@mastra\/*\u00bb), un popular marco JavaScript y TypeScript de c\u00f3digo abierto para crear aplicaciones de inteligencia artificial (IA), se ha visto comprometido como parte de un ataque a la cadena de suministro de software con nombre en c\u00f3digo. d\u00eda-f\u00e1cil-jsseg\u00fan los hallazgos de JFrog, […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[3156,1084,1419,24,3155,277,276,3157,76,132],"class_list":["post-1218","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-colaborador","tag-comprometidos","tag-cuenta","tag-cyberdefensa-mx","tag-mastra","tag-npm","tag-paquetes","tag-secuestrada","tag-traves","tag-una"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1218","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1218"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1218\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1218"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1218"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1218"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}