Un atacante ha logrado comprometer una cuenta de mantenedor en el registro de paquetes npm y ha publicado 637 versiones maliciosas distribuidas en 317 paquetes, en lo que los investigadores califican como otro golpe devastador a la cadena de suministro de software.

Entre las bibliotecas afectadas se encuentran echarts-for-react, timeago.js y cientos de paquetes bajo el ambito @antv, utilizados en proyectos empresariales de todo el mundo. En conjunto, los paquetes comprometidos sumaban mas de 15 millones de descargas mensuales antes de que se detectara la intrusion.

El ataque sigue el patron de campañas anteriores que los investigadores han denominado «Mini Shai-Hulud», en referencia a los gusanos del desierto de la saga Dune. Estas operaciones se caracterizan por moverse con rapidez, publicar multiples versiones contaminadas y extraer credenciales de los entornos de desarrollo de las victimas.

Las empresas de seguridad han instado a todos los desarrolladores a auditar sus dependencias inmediatamente y a revocar cualquier token de acceso que pueda haber sido expuesto durante el periodo de compromiso. Los entornos de integracion continua y los flujos de trabajo de agentes de codificacion asistida por IA son particularmente vulnerables a este tipo de infiltraciones, ya que suelen ejecutar scripts de instalacion automaticamente.

El incidente subraya la creciente dependencia del ecosistema de codigo abierto de medidas de seguridad que, en muchos casos, siguen dependiendo de cuentas individuales protegidas solo por contrasenas. Varios investigadores han reclamado al registro npm la implementacion obligatoria de autenticacion multifactor para todos los mantenedores con permisos de publicacion.