Basado en información de The Hacker News →
Introducción
Cuando un paquete legítimo de código abierto es clonado con precisión quirúrgica, el desarrollador promedio no tiene forma de distinguir la copia maliciosa del original. Un nuevo grupo de paquetes npm vinculados a Corea del Norte demuestra que los atacantes ya no necesitan exploits complejos: les basta con copiar la fachada de una herramienta confiable.
El problema
De acuerdo con el reporte de The Hacker News, investigadores de JFrog detectaron una campaña activa de paquetes npm maliciosos atribuidos a actores de amenazas vinculados a Corea del Norte. Los paquetes, llamados "rollup-packages-polyfill-core" y "rollup-runtime-polyfill-core", suplantan al proyecto legítimo "rollup-plugin-polyfill-node", copiando su descripción, metadatos del repositorio y estructura visual para engañar a desarrolladores que buscan herramientas de polyfill para Rollup. Una vez instalados, estos paquetes establecen acceso remoto y facilitan el robo de secretos del entorno de desarrollo.
Consecuencias
El impacto inmediato es la pérdida de credenciales, tokens de API, claves SSH y variables de entorno que los desarrolladores almacenan localmente. Pero la consecuencia más grave va más allá: una vez que el atacante tiene acceso al entorno de desarrollo, puede inyectar código en las aplicaciones que se están construyendo, comprometiendo no solo al desarrollador sino a toda la cadena de suministro de software downstream. Para empresas que usan integración continua y despliegue automático, un solo paquete malicioso puede propagar el compromiso a miles de usuarios finales.