Paquetes populares de npm comprometidos en campaña de malware
Varios paquetes populares de npm con millones de descargas semanales han sido secuestrados para distribuir malware, y muchos programas antivirus aún no detectan correctamente el DLL malicioso.
Última actualización
Recientemente, varios paquetes populares de npm han sido comprometidos como parte de una campaña de malware. Un mantenedor de paquetes de npm fue víctima de un ataque de phishing, lo que permitió a los atacantes acceder a los paquetes y actualizarlos para incluir un DLL malicioso. Sorprendentemente, muchos programas antivirus aún no han logrado detectar este archivo malicioso de manera efectiva.
Entre los paquetes afectados se encuentran aquellos con millones de descargas semanales, como eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core y napi-postinstall. Estos paquetes fueron utilizados como punto de partida para la distribución de malware después de que el mantenedor, JounQin, cayera en un ataque de phishing. La vulnerabilidad en estos paquetes pone en riesgo a una gran cantidad de usuarios de npm.
Los expertos en ciberseguridad están advirtiendo sobre la necesidad de tomar medidas más estrictas para prevenir tales ataques, que pueden tener consecuencias graves para la seguridad de los desarrolladores y usuarios de software.
Podría gustar
- Apple lanza las versiones candidatas para visionOS 2.6, tvOS 18.6 y watchOS 11.6
- La ex-CEO de Instacart, Fidji Simo, liderará una parte importante de OpenAI
- Apple Music celebra 10 años con un nuevo centro y estudio para artistas
- Google Chrome deja de soportar macOS Big Sur con la versión 138
- Un registro de carbono de 50,000 años revela el uso temprano del fuego por los humanos
- El modelo de video AI Veo 3 de Google enfrenta problemas con la precisión de los subtítulos
- Posible Descubrimiento del Avión de Amelia Earhart Cerca de la Isla Nikumaroro
- Microsoft Copilot Vision ahora escanea toda la pantalla para obtener información con IA