Detectada nueva campaña de Lazarus Group: paquetes maliciosos en npm y PyPI simulan ofertas laborales

Introducción

El ecosistema de desarrollo de software vuelve a ser objetivo de actores de amenazas avanzados. Investigadores en ciberseguridad han identificado una campaña activa, atribuida al grupo norcoreano Lazarus, que distribuye paquetes maliciosos en los repositorios npm y PyPI. Esta operación, denominada “graphalgo” por el primer paquete detectado en npm, emplea tácticas de ingeniería social basadas en falsas ofertas de empleo para comprometer entornos de desarrollo y exfiltrar información sensible.

Contexto del Incidente o Vulnerabilidad

Desde mayo de 2025, se observa una intensificación de campañas de cadena de suministro dirigidas a repositorios de paquetes de código abierto, en línea con la tendencia creciente de ataques software supply chain. Lazarus Group, conocido por su sofisticación y persistencia, ha utilizado históricamente técnicas similares para infiltrarse en organizaciones de alto perfil, aprovechando la confianza depositada en los ecosistemas de npm (Node.js) y PyPI (Python).

En esta ocasión, la campaña utiliza la temática de reclutamiento para atraer a desarrolladores a descargar paquetes aparentemente legítimos que, una vez instalados, ejecutan payloads maliciosos. El objetivo principal es acceder a sistemas corporativos, obtener credenciales y facilitar movimientos laterales en infraestructuras críticas.

Detalles Técnicos

Los investigadores han identificado múltiples paquetes en npm y PyPI asociados a la campaña “graphalgo”. Entre los nombres detectados figuran “graphalgo”, “pygraphauth”, “nodejoboffer” y variantes diseñadas para pasar desapercibidas mediante typosquatting y naming confusion. Estos paquetes contienen scripts ofuscados que, al ejecutarse, descargan y ejecutan cargas útiles adicionales desde servidores controlados por los atacantes.

– **CVE asociadas**: Hasta el momento, no se han asignado identificadores CVE específicos a esta campaña, ya que se basa en la distribución de paquetes maliciosos más que en la explotación de vulnerabilidades conocidas.
– **Vectores de ataque**: Ingeniería social (phishing laboral), ejecución de scripts post-instalación, comunicación con C2 mediante HTTP/HTTPS y WebSockets.
– **TTP MITRE ATT&CK**:
– T1195 (Supply Chain Compromise)
– T1059 (Command and Scripting Interpreter)
– T1071 (Application Layer Protocol)
– T1086 (PowerShell, en caso de entornos Windows)
– **IoC (Indicadores de Compromiso)**:
– Dominios y direcciones IP de C2 (actualizados en feeds de inteligencia)
– Hashes de los paquetes maliciosos
– Nombres de los paquetes y cuentas de usuario fraudulentas en npm y PyPI

La ejecución del malware permite la instalación de herramientas adicionales, como frameworks de post-explotación tipo Metasploit o Cobalt Strike, según la telemetría recogida por los analistas.

Impacto y Riesgos

El impacto potencial de esta campaña es elevado, especialmente para organizaciones que dependen del desarrollo ágil y la integración continua. Al comprometer los entornos de desarrollo, Lazarus puede:
– Exfiltrar código fuente y secretos (API keys, credenciales)
– Desplegar ransomware o wipers
– Facilitar ataques de supply chain que afecten a clientes finales

Un reciente análisis estima que más del 3% de los paquetes npm y PyPI descargados en entornos empresariales presentan algún tipo de anomalía o riesgo de seguridad, subrayando la necesidad de controles estrictos. El daño económico derivado de incidentes similares supera los 40 millones de euros anuales en la UE, según ENISA.

Medidas de Mitigación y Recomendaciones

Las organizaciones deben adoptar una estrategia defensiva en profundidad ante cadenas de suministro comprometidas. Entre las recomendaciones clave se incluyen:
– Restringir la instalación de paquetes a repositorios internos verificados
– Monitorizar logs de npm y pip para detectar intentos de instalación sospechosos
– Utilizar herramientas de análisis de dependencias (SCA) con feeds de inteligencia actualizados
– Implementar políticas de Zero Trust en entornos de CI/CD
– Formación y concienciación de los desarrolladores sobre técnicas de ingeniería social
– Refuerzo de la autenticación multifactor y la gestión de secretos

Además, es crucial reaccionar ante cualquier IoC publicado y colaborar con CSIRTs nacionales y CERTs sectoriales, en cumplimiento con la normativa NIS2 y el RGPD en caso de fuga de datos personales.

Opinión de Expertos

Especialistas en ciberinteligencia destacan que Lazarus ha elevado el nivel de sofisticación, orientando sus operaciones a los eslabones más débiles de la cadena de suministro software. “El uso de repositorios públicos como vector de ataque demuestra que la confianza en el ecosistema open source debe ir siempre acompañada de controles técnicos y organizativos”, señala un analista senior de una firma de Threat Intelligence europea.

Implicaciones para Empresas y Usuarios

Las empresas tecnológicas, especialmente aquellas con procesos de DevOps y despliegue continuo, deben revisar urgentemente sus políticas de gestión de dependencias. El incidente subraya la importancia de mantener una postura proactiva en la cadena de suministro, combinando supervisión técnica con formación continua. Los usuarios finales, por su parte, podrían verse afectados indirectamente si el malware se propaga a través de productos o servicios comprometidos.

Conclusiones

La campaña “graphalgo” atribuida a Lazarus Group evidencia la urgente necesidad de reforzar la seguridad en el ciclo de vida del software, desde el aprovisionamiento de dependencias hasta la fase de producción. Solo una combinación de tecnologías avanzadas, procesos robustos y concienciación permitirá mitigar el creciente riesgo de supply chain attacks en el entorno digital actual.

(Fuente: feeds.feedburner.com)