Nadie esperaba una trampa en el paquete oficial; ahora instan a los desarrolladores a proteger las billeteras cripto.
Es imprescindible actuar ya para no perder activos.
Una actualización rutinaria de una dependencia se convirtió de nuevo en punto de entrada para un ataque contra desarrolladores: un atacante infectó con código malicioso 141 paquetes npm de Mastra tras comprometer la cuenta de uno de los colaboradores del proyecto. Mastra es un conjunto de herramientas para el desarrollo de aplicaciones de IA y sistemas de agentes, que se distribuye a través de npm y se integra en los proyectos como una dependencia de software habitual.
El ataque ocurrió el 17 de junio. Según Socket, la intrusión comenzó con el compromiso de la cuenta npm del colaborador de Mastra con el nombre ehindero. Desde esa cuenta de confianza, el atacante no modificó el código principal del proyecto, sino que sustituyó uno de los componentes por una «dependencia fantasma» controlada por él.
El paquete falso inicialmente parecía legítimo y funcionaba con normalidad, por lo que la actualización podría no haber despertado sospechas entre los desarrolladores. Más tarde al componente le añadieron código malicioso que se ejecutaba automáticamente al instalar las versiones infectadas. Los usuarios que instalaron esos paquetes pudieron, sin saberlo, instalar un programa ladrón de credenciales en sus equipos.
El malware buscaba datos de billeteras de criptomonedas, extensiones de navegadores y archivos con credenciales. Según los expertos, la campaña estaba dirigida principalmente al robo de activos digitales, no a dejar inoperativos los sistemas.
El riesgo se vio agravado por la confianza en la cuenta legítima. Los desarrolladores podían percibir la actualización como un cambio habitual en la cadena de suministro y no verificarla manualmente, lo que ayudó a que los paquetes infectados se propagaran más rápidamente a través de npm.
Socket recomendó eliminar las versiones afectadas, limpiar node_modules y volver a compilaciones anteriores. A los titulares de grandes billeteras de criptomonedas se les aconsejó mover los fondos a una billetera nueva. StepSecurity y JFrog también prepararon indicadores de compromiso, y Microsoft recomendó revertir con urgencia a versiones antiguas de los paquetes y usar archivos lockfile para fijar estrictamente las dependencias.