En las últimas semanas, investigadores en ciberseguridad revelaron una serie de paquetes maliciosos publicados en repositorios oficiales como Go Modules, npm (Node.js) y PyPI (Python). Algunos de estos paquetes son destructivos: pueden dejar inservible un sistema Linux con un solo comando. Otros, más sigilosos, están diseñados para robar datos sensibles, frases semilla de billeteras de criptomonedas, claves privadas, y mantener canales ocultos de comunicación con los atacantes.

---

? Parte 1: Paquetes en Go que destruyen discos duros en Linux

Tres módulos de Go fueron identificados con código fuertemente ofuscado que descarga y ejecuta un script destructivo. Este script verifica si el sistema operativo es Linux, y si lo es, ejecuta una orden para sobrescribir el disco principal (/dev/sda) con ceros. Resultado: el equipo no vuelve a arrancar y todos los datos se pierden para siempre.

? Módulos maliciosos de Go:

• github.com/truthfulpharm/prototransform
• github.com/blankloggia/go-mcp
• github.com/steelpoor/tlsproxy

?️ “Este tipo de ataque garantiza que ninguna herramienta forense pueda recuperar la información, ya que el disco se borra directamente a nivel físico.” — Kush Pandya, investigador de Socket.

Este tipo de paquetes suelen parecer confiables: tienen nombres técnicos, documentación básica y hasta pueden tener actividad en GitHub. Pero su objetivo real es destruir máquinas, afectando a desarrolladores, servidores de prueba y entornos de producción.

---

? Parte 2: Paquetes maliciosos en npm y PyPI orientados al robo de datos

Además del caso en Go, la investigación reveló una red de paquetes maliciosos en los ecosistemas de JavaScript (npm) y Python (PyPI). Aunque no destruyen sistemas, son incluso más peligrosos: roban información confidencial sin ser detectados.

? ¿Qué roban?

• Frases semilla y claves privadas de wallets de criptomonedas
• Credenciales sensibles
• Datos exfiltrados mediante cuentas de Gmail y WebSocket
• Ejecutan comandos remotos en las máquinas afectadas

? Paquetes maliciosos en npm:

• crypto-encrypt-ts
• react-native-scrollpageviewtest
• bankingbundleserv
• buttonfactoryserv-paypal
• tommyboytesting
• compliancereadserv-paypal
• oauth2-paypal
• paymentapiplatformservice-paypal
• userbridge-paypal
• userrelationship-paypal

Todos estos paquetes simulan funcionalidades legítimas o imitan nombres de servicios reales como PayPal.

---

? Paquetes maliciosos en PyPI:

• web3x
• herewalletbot

➡️ Descargados más de 6.800 veces en 2024, apuntan a usuarios del ecosistema cripto.

---

? Parte 3: Exfiltración por Gmail y WebSockets

Un conjunto adicional de paquetes en PyPI (ahora retirados) usaba una técnica avanzada para enviar datos al atacante sin levantar sospechas. Se conectaban a smtp.gmail[.]com usando credenciales codificadas y enviaban mensajes que confirmaban la infección. Luego, establecían un canal WebSocket para recibir instrucciones en tiempo real.

? Paquetes con esta funcionalidad:

• cfc-bsb
• coffin2022
• coffin-codes-2022
• coffin-codes-net
• coffin-codes-net2
• coffin-codes-pro
• coffin-grave

? Algunos de estos paquetes llegaron a tener más de 18.000 descargas, lo que evidencia el alcance potencial de estas amenazas.

Estos ataques evaden controles corporativos porque Gmail es un dominio “confiable” para muchos firewalls y proxys.

---

✅ ¿Cómo protegerte?

Ya no alcanza con evitar sitios raros. Hoy, el riesgo está dentro de los repositorios que usamos todos los días.

Recomendaciones clave:

? Auditar dependencias frecuentemente, incluso las conocidas
? Verificar autores y actividad de los paquetes en GitHub
? No confiar por antigüedad: que un paquete esté online desde hace años no significa que sea seguro
? Monitorear conexiones salientes, especialmente SMTP, WebSocket o tráfico inusual
?️ Proteger claves privadas y accesos sensibles con permisos mínimos

---

Este tipo de ataques dejan en evidencia una realidad incómoda: no hay software 100% confiable si no lo auditamos. La confianza ciega en dependencias externas puede costarte desde una wallet vacía hasta un servidor inservible. La seguridad hoy empieza desde el import.

? #AlertaSeguridad ? #Ciberseguridad ? #Linux ?️ #Desarrolladores ? #Python ? #npm ?️ #OSINT ⚠️ #Malware ? #Criptomonedas ? #AmenazasDigitales