A finales de diciembre de 2025 se identificó una campaña de spear-phishing que utilizó 27 paquetes maliciosos publicados en el registro NPM. Lo relevante es que estos paquetes no fueron creados para funcionar como dependencias de software, sino para servir contenido malicioso, incluyendo páginas falsas tipo inicio de sesión corporativo diseñadas para recolectar credenciales. Las víctimas se concentraron en sectores como automatización industrial, manufactura y salud.
¿Qué es NPM y por qué fue usado en un ataque?
NPM, el mayor repositorio global de paquetes JavaScript, es una herramienta fundamental para el desarrollo web. Al ser una plataforma abierta, cualquier persona puede publicar paquetes libremente, lo que también abre la puerta a la inserción de contenido malicioso dentro de una infraestructura legítima. Los atacantes aprovecharon esta característica para alojar páginas falsas dentro de la red CDN del registro NPM, un método que dificulta la detección, ya que los dominios suelen considerarse de confianza.
Cómo funcionó la campaña de phishing
El funcionamiento fue inusual y efectivo:
- Los paquetes NPM servían páginas de phishing como si fueran archivos estáticos comunes.
- Las interfaces imitaban páginas legítimas (por ejemplo, de plataformas Microsoft).
- El formulario mostraba el correo corporativo ya completado, haciendo creer que el acceso estaba asociado a la organización.
- JavaScript ofuscado y verificaciones anti-bots evitaban ser identificados por sistemas automáticos.
¿Qué es spear-phishing?
El spear-phishing es una forma de phishing dirigida especialmente a una víctima específica. Los atacantes investigan su perfil, empresa, puesto y responsabilidades, creando un mensaje personalizado con alta probabilidad de éxito.
¿Cómo defenderse? Soluciones de Sophos aplicadas a este tipo de amenazas
Sophos Email – Protección avanzada de correo
Diseñado para detener correos de phishing antes de que el usuario los vea.
- Análisis del remitente y detección de suplantación (spoofing)
- Evaluación de enlaces maliciosos dentro del correo
- Reescritura de URLs y análisis al momento del clic
- Detección de tácticas de ingeniería social
Sophos Intercept X – Seguridad del endpoint
Proporciona protección avanzada en equipos usuario y servidores ante actividades maliciosas.
- Deep Learning para detectar malware desconocido
- Prevención de exploits y técnicas de ejecución sin archivos
- Contención automática del dispositivo comprometido
- Reversión (rollback) de cambios maliciosos mediante snapshots
Sophos XDR – Detección y respuesta extendida
Herramienta para visualizar y analizar eventos de múltiples capas (correo, red, endpoints).
- Telemetría continua para análisis de riesgo
- Correlación de eventos con IA
- Automatización de acciones de respuesta
Sophos MDR – Servicio gestionado 24/7
Para organizaciones con operación crítica o falta de personal especializado.
- Threat hunting activo con analistas humanos
- Respuesta inmediata a incidentes
- Mitigación y contención sin intervención del cliente
Sophos Central – Consola centralizada
Permite gestionar toda la seguridad desde un solo panel.
- Bloqueo de dominios maliciosos a nivel global
- Configuración unificada de políticas de seguridad
- Visualización de alertas y seguimiento de incidentes
Medidas adicionales recomendadas:
- Activar autenticación multifactor (MFA)
- Capacitación continua al personal respecto al phishing
- Auditoría y validación de dependencias de terceros como NPM en proyectos internos
