**Detectados paquetes NPM maliciosos que se hacen pasar por herramientas de WhatsApp y borran datos de desarrolladores**
—
### Introducción
En los últimos días se ha detectado una campaña de distribución de paquetes maliciosos en el ecosistema NPM, dirigida específicamente a desarrolladores que trabajan con herramientas relacionadas con WhatsApp. Estos paquetes, que simulaban ser utilidades legítimas para el desarrollo de aplicaciones sobre WhatsApp, contenían en realidad código destructivo orientado a eliminar recursivamente archivos del sistema de las víctimas. El ataque pone de manifiesto la creciente sofisticación de las amenazas en la cadena de suministro de software y la criticidad de fortalecer los controles de seguridad en el desarrollo.
—
### Contexto del Incidente o Vulnerabilidad
El repositorio NPM, ampliamente utilizado por desarrolladores de JavaScript y Node.js, se ha convertido en un objetivo recurrente para actores maliciosos que buscan explotar la confianza en la cadena de suministro. En esta ocasión, los paquetes fraudulentos se presentaban como kits de desarrollo para WhatsApp, uno de los servicios de mensajería más populares a nivel global, lo que aumentaba su atractivo y potencial de descarga.
Según los análisis iniciales, los paquetes fueron subidos con nombres cuidadosamente elegidos para confundir a los usuarios y aprovecharse de posibles errores tipográficos (typosquatting) o búsquedas genéricas de herramientas para WhatsApp. Aunque ya han sido retirados del registro oficial, se estima que permanecieron activos durante varios días, con un número de descargas que aún está siendo evaluado.
—
### Detalles Técnicos
#### Descripción de los Paquetes
Los dos paquetes identificados, cuyos nombres exactos se mantienen reservados para evitar una mayor explotación, imitaban funcionalidades de SDKs y utilidades de integración con WhatsApp. Al ser instalados, incluían scripts posinstalación (`postinstall`) diseñados para ejecutar código destructivo en el sistema del desarrollador.
#### Mecanismo de Ataque
El código malicioso hacía uso de funciones estándar de Node.js (`fs` y `child_process`) para identificar la raíz del proyecto e iniciar un borrado recursivo de archivos, empleando comandos como `rm -rf` en sistemas Unix-like o `del /s /q` en Windows, dependiendo de la plataforma detectada.
##### TTP según MITRE ATT&CK
– **T1195 (Supply Chain Compromise)**: Compromiso de la cadena de suministro a través de la publicación de paquetes maliciosos.
– **T1485 (Data Destruction)**: Uso de comandos de borrado recursivo para eliminar datos locales.
#### Indicadores de Compromiso (IoC)
– Presencia de scripts `postinstall` sospechosos en paquetes relacionados con WhatsApp.
– Ejecución de comandos de borrado masivo tras instalar dependencias NPM.
– Comunicación o telemetría con dominios o direcciones IP no asociadas a los repositorios oficiales de WhatsApp o Meta.
#### Versiones Afectadas
El alcance incluye cualquier sistema en el que se haya realizado la instalación de los paquetes durante el periodo de disponibilidad en el registro NPM, independientemente de la versión de Node.js utilizada.
—
### Impacto y Riesgos
El principal riesgo de este ataque es la destrucción irreversible de datos en las estaciones de trabajo de los desarrolladores afectados, lo que puede acarrear pérdidas económicas significativas, retrasos en proyectos y potenciales filtraciones si existieran backups comprometidos. Al tratarse de una acción destructiva y no orientada al robo de información, la motivación podría estar relacionada con sabotaje, hacktivismo o pruebas de concepto para ataques de mayor escala.
Se estima que, durante el tiempo que los paquetes estuvieron disponibles, fueron descargados varias docenas de veces, aunque el impacto real podría ser mayor si se replicaron en repositorios internos o forks.
—
### Medidas de Mitigación y Recomendaciones
1. **Desinstalación inmediata** de los paquetes identificados, eliminando cualquier rastro de código ejecutado.
2. **Revisión exhaustiva de logs** y sistemas de control de versiones para detectar ejecuciones sospechosas.
3. **Implementación de políticas de control de dependencias**, restringiendo la instalación de paquetes no verificados o de reciente creación.
4. **Uso de herramientas de análisis de seguridad para NPM** como npm audit, Snyk o GitHub Dependabot.
5. **Backups frecuentes y segregados**: Mantener copias de seguridad fuera del alcance de la estación de trabajo local.
6. **Formación continua** a desarrolladores sobre amenazas de la cadena de suministro.
—
### Opinión de Expertos
Expertos en ciberseguridad como Ian Thornton-Trump (CISO de Cyjax) apuntan a que “la proliferación de ataques de typosquatting y paquetes falsos en los grandes repositorios evidencia una deficiencia en los controles de publicación y revisión de código. La automatización de auditorías y la verificación manual en proyectos críticos deben ser obligatorias”. Por su parte, analistas de Snyk advierten que el 35% de las organizaciones han experimentado incidentes relacionados con dependencias de terceros en el último año.
—
### Implicaciones para Empresas y Usuarios
Este incidente subraya la necesidad de adoptar un enfoque de “zero trust” en el consumo de software de terceros, especialmente en entornos de desarrollo. Las empresas deben actualizar sus políticas de gestión de dependencias y auditar de forma proactiva los paquetes empleados en sus proyectos, en cumplimiento con regulaciones como la GDPR y la próxima NIS2, que exige más transparencia y seguridad en la cadena de suministro digital.
—
### Conclusiones
La detección de estos paquetes maliciosos en NPM dirigidos a desarrolladores de WhatsApp constituye una alarma sobre la urgente necesidad de reforzar la seguridad en la cadena de suministro de software. Los CISOs y responsables de seguridad deben considerar este tipo de amenazas como un vector prioritario y desplegar medidas preventivas y reactivas para proteger tanto el desarrollo interno como los activos de la organización.
(Fuente: www.bleepingcomputer.com)