Creaste un bot de Telegram — recibiste un backdoor y una fuga de datos de regalo
Un clon de la API de Telegram inserta un backdoor SSH en el sistema.
Especialistas de Socket identificaron un nuevo ataque a la cadena de suministro de software: bibliotecas npm falsas que se hacen pasar por el popular Telegram Bot API introducen silenciosamente backdoors SSH y módulos de exfiltración de datos.
Telegram se ha convertido en un blanco conveniente para los atacantes: en 2025, su audiencia mensual superó los mil millones de usuarios, incluyendo más de 12 millones de suscriptores pagos. El servicio ofrece a los desarrolladores una API abierta para crear bots, pero no cuenta con un proceso formal de revisión del código antes de su publicación, como sucede en App Store o Google Play. Esto crea un entorno propicio no solo para entusiastas, sino también para actores maliciosos.
Socket puso su atención en tres bibliotecas npm —node-telegram-utils, node-telegram-bots-api y node-telegram-util—, cada una de las cuales imita al paquete legítimo node-telegram-bot-api, que cuenta con millones de descargas. Sus descripciones copian íntegramente el README original, y los enlaces a GitHub se modifican para que reflejen la reputación del repositorio auténtico —técnica conocida como starjacking. Todo esto crea una ilusión de legitimidad y reduce la vigilancia de los desarrolladores.
Aunque el número total de descargas de estos paquetes maliciosos ronda las 300, las consecuencias de una sola instalación pueden ser críticas. El código dentro de la biblioteca, al ejecutarse, verifica si el sistema es Linux, y en tal caso ejecuta automáticamente la función oculta addBotId(). Esta función inyecta dos claves SSH del atacante en el archivo ~/.ssh/authorized_keys, abriendo así un acceso persistente y sin contraseña al sistema. Incluso al eliminar el paquete, la vulnerabilidad permanece, ya que las claves no se eliminan y garantizan la presencia continua del atacante.
Además del acceso por SSH, el código malicioso recopila el nombre de usuario y la dirección IP externa, y los envía a un servidor remoto en solana.validator.blog, confirmando así la infección exitosa. Este ataque cuidadosamente diseñado permite a los atacantes permanecer ocultos al insertarse dentro de cadenas de suministro de código populares.
Toda la lógica maliciosa está contenida en apenas 40 líneas, ocultas dentro de una biblioteca que externamente no se distingue del original. El mecanismo de acción es silencioso, sin requerir interacción del usuario. Basta con una sola ejecución para que el sistema quede comprometido.
El ataque pone de relieve cuán vulnerables son los desarrollos modernos a la manipulación a través de dependencias. Las empresas de software suelen confiar ciegamente en paquetes externos, sin sospechar que, con cada instalación de npm, podrían estar cediendo el control de sus servidores a actores externos.
Para minimizar estos riesgos, se recomienda utilizar herramientas automáticas de análisis y monitoreo de dependencias, tanto en la fase de descarga como durante la integración al repositorio de código. Evitar instalaciones manuales de paquetes aleatorios e implementar defensas multinivel en las etapas de desarrollo y compilación ayuda a cerrar el principal canal de intrusión: la confianza en bibliotecas externas. Dada la creciente sofisticación de los ataques, esto ya no es solo una buena práctica, sino una necesidad.