Basado en información de The Hacker News →
Introducción
El ecosistema de código abierto vuelve a ser el vector de entrada. Un grupo de paquetes npm, diseñados para parecer extensiones legítimas de PostCSS, están distribuyendo un troyano de acceso remoto (RAT) dirigido a sistemas Windows. Si tu equipo usa npm para gestión de dependencias, esto te toca de cerca.
El problema
De acuerdo con un reporte de The Hacker News, investigadores de ciberseguridad identificaron una serie de paquetes maliciosos en el registro público de npm que se hacen pasar por herramientas de PostCSS. La lista incluye 'aes-decode-runner-pro' (145 descargas), 'postcss-minify-selector' (256 descargas) y 'postcss-minify-selector-parser' (615 descargas). Todos fueron publicados en el último mes por un mismo usuario de npm. Su objetivo real: infectar la máquina de la víctima con un RAT para Windows, es decir, un troyano que permite el control remoto del equipo comprometido.
Consecuencias
Un RAT en Windows no es un simple adware. Quien lo controla puede robar credenciales, capturar pulsaciones de teclado, acceder a archivos privados, activar la cámara o el micrófono, y usar el equipo como punto de apoyo para moverse lateralmente dentro de la red. Para un desarrollador o una agencia que integre estos paquetes en un proyecto, el riesgo incluye la filtración de secretos de API, claves de acceso a producción y datos de clientes. Además, la naturaleza silenciosa del RAT permite que pase desapercibido durante semanas.