Investigadores de ciberseguridad han detectado un nuevo gusano de autopropagación en el ecosistema npm. Bautizado como CanisterSprawl, este ataque utiliza tokens de desarrolladores robados para comprometer paquetes y extenderse automáticamente. Socket y StepSecurity advierten que la amenaza ya está activa, aprovechando credenciales filtradas para infectar repositorios y robar datos mediante un contenedor ICP.
Mecanismo de autopropagación en la cadena de suministro 🧬
El gusano opera mediante credenciales npm robadas, que permiten a los atacantes publicar versiones maliciosas de paquetes legítimos. Una vez instalado, el código malicioso busca tokens adicionales en el entorno del desarrollador para infectar nuevos proyectos. El contenedor ICP actúa como servidor de extracción de datos robados. Socket y StepSecurity señalan que la propagación es automática y puede comprometer toda la cadena de suministro de software si no se revocan los tokens afectados.
Tu token npm, la llave maestra del vecino 🔑
Resulta que dejar tu token npm en un repositorio público es como dejar las llaves del coche con las ventanillas bajadas. Los atacantes no solo entran, sino que invitan a todo el barrio a usar tu vehículo. CanisterSprawl no es un gusano cualquiera: es el primo pesado que llega a la fiesta del código, roba las credenciales y se va sin pagar la ronda. Recuerda: si no rotas tus tokens, alguien más los rotará por ti.