Paquetes npm maliciosos roban claves criptográficas y secretos CI

Ciberseguridad Feb 23, 2026

Introducción

Recientemente, investigadores de ciberseguridad han descubierto una campaña activa que utiliza un worm de cadena de suministro llamado SANDWORM_MODE. Esta campaña ha aprovechado al menos 19 paquetes npm maliciosos para robar claves criptográficas, secretos de integración continua (CI) y tokens de API.

¿Qué sucedió?

Los paquetes npm maliciosos fueron publicados por dos alias, official334 y javaorg, y contienen código que permite la recolección de información del sistema, así como el robo de tokens y claves desde entornos de desarrollo. Esta actividad tiene la capacidad de propagarse al abusar de identidades robadas de npm y GitHub, lo que incrementa su alcance.

Impacto y Riesgo

Los paquetes maliciosos no solo roban datos, sino que también incluyen un módulo llamado McpInject que apunta a asistentes de codificación AI, inyectando un servidor malicioso en sus configuraciones. Además, tienen una rutina destructiva que puede borrar el directorio personal si pierden acceso a GitHub y npm, aunque esta función está desactivada por defecto.

Recomendaciones

  • Revise y audite las dependencias npm utilizadas en sus proyectos.
  • Considere utilizar herramientas de escaneo de seguridad para detectar paquetes maliciosos.
  • Establezca políticas de acceso restringido a las identidades de GitHub y npm.
  • Monitoree sus entornos de desarrollo continuamente para detectar actividad sospechosa.

Conclusión

La campaña SANDWORM_MODE resalta la vulnerabilidad de los entornos de desarrollo a través del uso de paquetes npm maliciosos. Las empresas deben tomar medidas proactivas para proteger sus secretos y evitar el compromiso de sus infraestructuras.

Tags

enHackeSOC

Recommended for you