Respuesta al Ataque de la Cadena de Suministro de NPM

Todos los proyectos bajo organización Github de SDF no se ven afectados.

Los equipos de seguridad e ingeniería de SDF respondieron inmediatamente y encontraron:

• No se conocen paquetes maliciosos en proyectos de SDF - Además del escaneo continuo rutinario, se realizó una auditoría explícita de todos los proyectos bajo organización Github de SDF se llevó a cabo (usando métodos manuales y automatizados), y no encontramos ninguna instancia de versiones de paquetes maliciosos.
• Protección proactiva implementada - Como medida de precaución, los paquetes de proyectos NPM relevantes se fijaron a las últimas versiones conocidas seguras.

Aunque las versiones de paquetes maliciosos han sido eliminadas del registro de NPM, este es un ataque en evolución y se pueden descubrir más paquetes afectados. SDF continuará monitoreando esta situación en evolución y proporcionará actualizaciones según sea necesario.

Temprano en la mañana del 8 de septiembre de 2025, se descubrió un importante ataque a la cadena de suministro en el ecosistema NPM. Versiones maliciosas de docenas de paquetes NPM comúnmente utilizados (como se lista aquí y aquí) fueron publicadas en el registro de NPM. Estos paquetes tienen miles de millones de descargas semanales. El ataque se logró mediante un ataque de phishing a un desarrollador popular de NPM. A pesar de la enorme escala, el ataque fue identificado rápidamente por la comunidad y se enviaron notificaciones a través de la industria en cuestión de horas.

La metodología para este ataque incluyó el intercambio pasivo de direcciones y la interceptación activa de transacciones a través de una llamada “monkey-patched” fetch y XMLHTTPRequest. Estas acciones se centraron en atacar billeteras dentro de los ecosistemas de Bitcoin Classic (BTC), Bitcoin Cash (BCH), Litecoin (LTC), Solana (SOL) y Ethereum (ETH). La red de Stellar no está dirigida en este malware.

Para Proyectos NPM:

• Audita tus proyectos NPM para asegurarte de no estar usando versiones maliciosas de paquetes afectados. Esto se puede lograr en varios proyectos usando herramientas nativas o de terceros para el escaneo de dependencias.
• Si hay paquetes afectados siendo utilizados en un proyecto, fija todos los paquetes afectados a sus últimas versiones conocidas seguras usando la característica overrides en package.json (para proyectos que usan yarn como gestor de paquetes, el equivalente es resolutions) y reconstruye. Dado que la lista de paquetes afectados está en constante aumento, cuando fijes todos los paquetes afectados a sus últimas versiones conocidas seguras, asegúrate de que otras versiones de paquetes (no afectadas) no se actualicen, si es posible.

Pipeline de Construcción: Audita tus pipelines de construcción y despliegue para asegurarte de no haber descargado e instalado versiones maliciosas de cualquier paquete afectado en cualquiera de tus construcciones o lanzamientos.

Para Desarrolladores: Si eres un desarrollador y construiste localmente un proyecto con NPM, o ejecutaste comandos de “npm” recientemente, audita tu estación de trabajo para asegurarte de que no descargaste versiones maliciosas de cualquier paquete afectado en tu sistema.