Paquete NPM falso con 206 mil descargas intentó obtener credenciales de GitHub.

Investigadores de ciberseguridad de Veracode descubrieron una campaña cuyo objetivo era robar credenciales críticas del propio código fuente de GitHub. El ataque consistía en que los hackers instalaran un componente de software falso en npm (Node Package Manager) , una extensa biblioteca pública que los desarrolladores utilizan para compartir código JavaScript.

Para su información, un paquete npm es una carpeta que contiene código, documentación y metadatos que los desarrolladores pueden compartir e integrar fácilmente en sus proyectos. Esto les ayuda a crear aplicaciones modernas reutilizando componentes de código existentes y probados, en lugar de escribir todo desde cero.

El equipo de investigación de amenazas de la empresa de ciberseguridad Veracode detectó el viernes 7 de noviembre un paquete npm malicioso, un GitHub Actions Toolkit llamado “ @acitons/artifact" . Este nombre es un claro ejemplo de cómo los estafadores utilizan un truco llamado typosquatting para engañar a usuarios desprevenidos.

Este tipo de ataque consiste en registrar un nombre que parece intencionadamente una errata de uno legítimo (el paquete real es @actions/artifact ), con la esperanza de que los desarrolladores descarguen por error el incorrecto. El paquete malicioso fue sorprendentemente popular, con más de 206 000 descargas.

Captura de pantalla tomada después de que el autor del malware eliminara el paquete malicioso (Fuente: Veracode)

Este tipo de brecha, técnicamente llamada falla de la cadena de suministro de software, se ha convertido en una preocupación importante, llegando incluso a figurar en la lista OWASP TOP 10 2025 (RC1) de los principales riesgos, señalaron los investigadores en la publicación del blog compartida con Hackread.com.

El paquete de código falso estaba configurado para ejecutar una secuencia peligrosa inmediatamente después de la instalación. Contenía un gancho posterior a la instalación (básicamente un script especial) que descargaba y ejecutaba malware para robar tokens de GitHub .

Consideremos estos tokens como claves de acceso temporales al entorno de código. Los investigadores de Veracode creen que la motivación final era «extraer los tokens disponibles para el entorno de compilación y luego utilizarlos para publicar nuevos artefactos maliciosos en GitHub».

Una investigación más exhaustiva reveló que el malware era extremadamente específico. Estaba programado para comprobar en qué repositorio se encontraba y, en concreto, atacaba repositorios pertenecientes a la organización GitHub. Una comprobación en el código malicioso garantizaba que se cerraría si la organización no era GitHub, lo que confirmaba que los atacantes tenían como objetivo la plataforma principal.

Cabe destacar que, cuando los investigadores detectaron el malware, ni siquiera los antivirus más populares lo lograron. Los atacantes también habían incluido una fecha de expiración, configurando el código para que dejara de funcionar después del 6 de noviembre de 2025 UTC. La investigación también identificó y bloqueó otro paquete falso llamado « 8jfiesaf83 ».

Para el lunes 10 de noviembre, las versiones maliciosas del paquete fueron eliminadas, probablemente por los propios atacantes o por GitHub. La buena noticia es que Veracode confirmó que los clientes que utilizan su servicio de seguridad, Package Firewall, estuvieron protegidos de inmediato tras la detección de la amenaza el viernes.