• Saltar al contenido principal
  • Skip to secondary menu
  • Saltar a la barra lateral principal
  • Saltar al pie de página
  • Inicio
  • Secciones
    • Ciencia de datos
    • Criptografía
    • Herramientas
    • Machine Learning
    • Noticias
    • Opinión
    • Productividad
    • Programación
      • JavaScript
      • Julia
      • Matlab
      • Python
      • R
  • Programación
    • JavaScript
    • Julia
    • Matlab
    • Python
    • R
  • Laboratorio
    • Estadística
      • Calculadora del Tamaño Muestral en Encuestas
      • Calculadora de estadísticos descriptivos
      • Test de normalidad
      • Calculadora de contrastes de hipotesis
      • Calculadora de tamano del efecto
      • Simulador de Regresión Lineal con Ruido
      • Visualizador de PCA
      • Visualizador de Series Temporales
      • Simulador de Regresión Logística
      • Simulador de K-Means
      • Simulador de DBSCAN
      • Detector de la Ley de Benford
      • Ajuste de Curvas
      • Calculadora de Matrices
    • Probabilidad
      • Calculadora de Probabilidad de Distribuciones
      • Calculadora de Probabilidades de Lotería
      • Simulador del Problema de Monty Hall
      • Simulador de la Estrategia Martingala
    • Finanzas
      • Calculadora de Préstamos e Hipotecas
      • Conversor TIN ↔ TAE
      • Calculadora DCA con ajuste por inflación
      • Calculadora XIRR con Flujos Irregulares
      • Simulador FIRE (Financial Independence, Retire Early)
    • Negocios
      • CLV
      • Scoring
    • Herramientas
      • Formateador / Minificador de JSON
      • Conversor CSV ↔ JSON
      • Comparador y Formateador de Texto y JSON
      • Formateador y Tester de Expresiones Regulares
      • Inspector de JWT
      • Generador y verificador de hashes
      • Codificador / Decodificador Base64 y URL
      • Conversor de bases numericas
      • Conversor de Timestamp Unix
      • Conversor de colores
      • Generador de UUIDs
    • Juegos
      • Tres en Raya
      • Nim con Q-Learning
    • Más
      • Método D’Hondt
      • Generador de Contraseñas Seguras
  • Noticias
  • Boletín
  • Contacto
  • Tienda
    • Libros
    • Equipamiento de oficina
    • Equipamiento en movilidad

Analytics Lane

Ciencia e ingeniería de datos aplicada

  • Ciencia de datos
  • Machine Learning
  • IA Generativa
  • Python
  • Pandas
  • NumPy
  • R
  • Excel

Detectan paquetes maliciosos en NPM diseñados para comprometer claves privadas y datos sensibles

Ciberseguridad

enero 23, 2025 Por Daniel Rodríguez Deja un comentario
Tiempo de lectura: 3 minutos

Noticias

En los últimos días, se han identificado varios paquetes maliciosos en el repositorio de Node Package Manager (NPM), que representan un riesgo significativo para la seguridad de desarrolladores y usuarios. Estos paquetes están diseñados para robar claves privadas de criptomonedas, interceptar datos confidenciales y, en algunos casos, borrar información crítica de los sistemas comprometidos.

Paquetes maliciosos detectados en NPM

Entre los paquetes identificados se encuentran:

  • web3-essential-tools
  • crypto-wallet-helper
  • @async-mutex/mutex
  • dexscreener
  • solana-transaction-toolkit
  • solana-stable-web-huks

Estos paquetes se presentan como herramientas legítimas, pero en realidad emplean técnicas de suplantación de nombres (typosquatting) para engañar a los desarrolladores y lograr su instalación.

Una vez integrados en los entornos de desarrollo, pueden llevar a cabo acciones como:

  1. Robo de claves privadas de criptomonedas: Extraen claves privadas de Solana y otros activos, enviándolas a servidores controlados por los atacantes.
  2. Eliminación o modificación de datos: Ejecutan comandos maliciosos que comprometen archivos críticos del proyecto o del sistema.
  3. Captura de credenciales y tokens de autenticación: Aprovechan configuraciones locales para obtener accesos a servicios y plataformas asociadas, comprometiendo la seguridad general.

Métodos utilizados por los atacantes

Los responsables de estos paquetes maliciosos recurren a diversas tácticas para maximizar el alcance y la efectividad de sus ataques:

  • Técnicas de typosquatting: Crean nombres de paquetes similares a los de bibliotecas populares, aumentando la probabilidad de que los desarrolladores los instalen por error.
  • Ejecución de scripts maliciosos automáticos: Introducen scripts que se ejecutan durante la instalación, sin necesidad de intervención del usuario.
  • Distribución masiva: Publican múltiples variantes de los paquetes para incrementar las posibilidades de éxito del ataque.

Publicidad


Recomendaciones para desarrolladores que usan NPM

Para proteger sus proyectos y sistemas, es fundamental adoptar medidas preventivas como:

Augurios deportivos y portadas malditas, o cuando The Economist predice mejor al revés – El bestiario de los indicadores económicos absurdos (parte 3)
En Analytics Lane
Augurios deportivos y portadas malditas, o cuando The Economist predice mejor al revés – El bestiario de los indicadores económicos absurdos (parte 3)

  1. Verificar la fuente y reputación de los paquetes: Consultar el historial de publicaciones, las métricas de uso y los comentarios de otros usuarios.
  2. Analizar el contenido antes de instalarlo: Utilizar herramientas como npm audit o npm ls para identificar vulnerabilidades en las dependencias.
  3. Probar en entornos aislados: Implementar contenedores o máquinas virtuales para evaluar nuevas dependencias antes de integrarlas en proyectos principales.
  4. Activar autenticación de dos factores (2FA): Proteger las cuentas asociadas al desarrollo con métodos de autenticación adicionales para evitar accesos no autorizados.

Un problema recurrente en ecosistemas de paquetes

Este caso se suma a las recientes amenazas detectadas en otros repositorios como PyPI. Los atacantes aprovechan técnicas como el typosquatting para distribuir malware en repositorios públicos, lo que subraya la importancia de una vigilancia constante. En una noticia anterior, analizamos incidentes similares en PyPI, donde también se identificaron paquetes diseñados para robar información y comprometer sistemas.

Conclusiones

La seguridad en los ecosistemas de paquetes sigue siendo un desafío, especialmente a medida que los atacantes perfeccionan sus estrategias para engañar a los desarrolladores. Casos como el de los paquetes maliciosos en NPM y PyPI destacan la necesidad de adoptar buenas prácticas de seguridad y mantenerse informado sobre las amenazas emergentes.

Para más información sobre este caso, consulta las fuentes originales:

  • Hackers Deploy Malicious npm Packages to Steal Solana Wallet Keys via Gmail SMTP
  • Hackers Weaponize npm Packages To Steal Solana Private Keys Via Gmail
  • Malicious npm and PyPI target Solana Private keys to steal funds from victims’ wallets

También puedes leer nuestra noticia previa sobre amenazas similares en PyPI.

Imagen de Michael Gaida en Pixabay

¿Te ha parecido de utilidad el contenido?

¡Puntúalo entre una y cinco estrellas!

Puntuación promedio 0 / 5. Votos emitidos: 0

Ya que has encontrado útil este contenido...

¡Síguenos en redes sociales!

¡Siento que este contenido no te haya sido útil!

¡Déjame mejorar este contenido!

Dime, ¿cómo puedo mejorar este contenido?

Publicidad


Publicaciones relacionadas

  • Augurios deportivos y portadas malditas, o cuando The Economist predice mejor al revés – El bestiario de los indicadores económicos absurdos (parte 3)
  • Lanzamos el video de ScoreFlow: crea scorecards de crédito de forma ágil y sin IT
  • El bestiario de los indicadores económicos absurdos: El zoo patrio
  • El Binning en Credit Scoring: El Arte de Discretizar Variables
  • Las fórmulas con DNI, o cómo dividir cualquier cosa entre cualquier otra cosa puede acabar publicado en un titular serio – El bestiario de los indicadores económicos absurdos (parte 5)
  • Data Leakage en Credit Scoring: El Error que Invalida tu Modelo
  • Analytics Lane lanza la versión 1.3 del laboratorio con nuevas herramientas de evaluación de modelos y utilidades prácticas
  • La liga internacional, o cuando Harvard y Johns Hopkins suman peras con manzanas – El bestiario de los indicadores económicos absurdos (parte 6)
  • Customer Lifetime Value: la fórmula clásica que todo analista debería dominar

Publicado en: Noticias Etiquetado como: Ciberseguridad

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

I accept the Terms and Conditions and the Privacy Policy

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Suscríbete a nuestro boletín

Suscríbete al boletín semanal para estar al día de todas las publicaciones.

Política de Privacidad

Analytics Lane en redes sociales

  • Amazon
  • Bluesky
  • Facebook
  • GitHub
  • Instagram
  • Mastodon
  • Pinterest
  • RSS
  • Telegram
  • Tumblr
  • Twitter
  • YouTube

Publicidad

Entradas recientes

Customer Lifetime Value: la fórmula clásica que todo analista debería dominar

julio 14, 2026 Por Daniel Rodríguez

Noticias

Analytics Lane lanza la versión 1.4 del laboratorio con nuevas herramientas de conversión y modelos avanzados de CLV

julio 10, 2026 Por Daniel Rodríguez

La liga internacional, o cuando Harvard y Johns Hopkins suman peras con manzanas – El bestiario de los indicadores económicos absurdos (parte 6)

julio 9, 2026 Por Daniel Rodríguez

Publicidad

Es tendencia

  • Función de interpolación lineal en Excel sin VBA publicado el noviembre 3, 2021 | en Herramientas
  • Copiar y pegar Activar copiar y pegar en VirtualBox publicado el mayo 1, 2019 | en Herramientas
  • ¿Por qué recibo ‘NameError: name X is not defined’ en Python? Aprende cómo solucionarlo publicado el marzo 17, 2025 | en Python
  • Gráficos de barras en Matplotlib publicado el julio 5, 2022 | en Python
  • pandas Pandas: Contar los valores nulos en DataFrame publicado el agosto 12, 2021 | en Python

Publicidad

Lo mejor valorado

4.9 (24)

Seleccionar filas y columnas en Pandas con iloc y loc

4.6 (16)

Archivos JSON con Python: lectura y escritura

4.4 (14)

Ordenación de diccionarios en Python mediante clave o valor

4.7 (13)

Operaciones de filtrado de DataFrame con Pandas en base a los valores de las columnas

4.1 (11)

Aplicar el método D’Hondt en Excel

Comentarios recientes

  • bif en JSON en bases de datos: cuándo es buena idea y cuándo no
  • bif en Cómo desinstalar Oracle Database 19c en Windows
  • M. Pilar en Cómo eliminar las noticias en Windows 11 y recuperar tu concentración
  • Daniel Rodríguez en Probabilidad básica: cómo entender el azar en nuestra vida diaria
  • Pepe en Probabilidad básica: cómo entender el azar en nuestra vida diaria

Publicidad


Footer

Analytics Lane

  • Acerca de Analytics Lane
  • Boletín de noticias
  • Contacto
  • Libros
  • Lo más popular
  • Noticias
  • Tienda
  • Tiendas afiliadas

Secciones

  • Ciencia de datos
  • Criptografía
  • Herramientas
  • Machine Learning
  • Opinión
  • Productividad
  • Programación
  • Reseñas

Sobre de Analytics Lane

En Analytics Lane tratamos de explicar los principales conceptos de la ciencia e ingeniería de datos con un enfoque práctico. Los principales temas tratados son ciencia de datos, ingeniería de datos, inteligencia artificial, machine learning, deep learning y criptografía. Además, también se habla de los principales lenguajes de programación y herramientas utilizadas por los científicos e ingenieros de datos.

Copyright © 2018-2026 Analytics Lane ·Términos y condiciones ·Política de Cookies ·Política de Privacidad ·Herramientas de privacidad ·Contacto