Alerta de ciberseguridad: PhantomRaven infiltra 126 paquetes npm para robar credenciales de GitHub

Mobirise

Investigadores de ciberseguridad han descubierto otra campaña activa, denominada Phantom Raven por Koi Security, dirigida al registro npm con más de 100 paquetes maliciosos que pueden robar token de autenticación, secretos de CI/CD y credenciales de GitHub de las maquinas de los desarrolladores. 

Los primero ataques comenzaron en agosto de 2025 cuando se subieron los primeros paquetes al repositorio, desde entonces ha crecido exponencialmente hasta alcanzar un total de 126 bibliotecas npm, con más de 86,000 instalaciones.


Algunos de los paquetes también han sigo señalados por la empresa DevSecOps DCODX.

  • op-cli-installer (486 Descargas)
  • importaciones no utilizadas (1350 descargas)
  • badgekit-api-client (483 descargas)
  • polyfill-corejs3 (475 descargas)
  • eslint-comments (936 descargas)

Los paquetes utilizados en la campaña PhantomRaven aprovechan un sistema de dependencias dinámicas remotas (RDD) donde declaran cero dependencias, pero obtienen automáticamente las cargas útiles de URL externas durante la instalación.

Mobirise

El mecanismo descarga los paquetes y los ejecuta automáticamente al ejecutar 'npm install', y no requiere interacción del usuario. La carga útil “instalada lateralmente” analiza el dispositivo infectado para determinar el valor del objetivo y busca direcciones de correo electrónico en las variables de entorno de la víctima.

Mobirise

Lo más preocupante es que el malware recopila tokens para NPM, GitHub Actions, GitLab, Jenkins y CircleCI, que podrían utilizarse para introducir cambios maliciosos en otros proyectos y potencialmente lanzar ataques a la cadena de suministro. Según Koi Security, los operadores detrás de la campaña PhantomRaven utilizan tres métodos de exfiltración de datos: solicitudes HTTP GET con datos codificados en la URL, solicitudes HTTP POST con datos JSON y a través de una conexión WebSocket.

Mobirise

PhantomRaven logró evadir la detección durante un período prolongado debido a dependencias dinámicas remotas, que no son visibles mediante análisis estático. Koi Security señala que esto permite a los ciberdelincuentes sofisticados eludir la detección.

El informe de Koi Security incluye indicadores de compromiso (IoC) para la infraestructura utilizada en los ataques de PhantomRaven y la lista completa de paquetes maliciosos.

Mobirise
PayPal se convierte en la primera billetera digital integrada en ChatGPT gracias a un acuerdo con OpenAI.

los usuarios podrán comprar directamente dentro del chatbot, marcando el inicio de... Read more..

LG Uplus sufre ciberataque y se suma a la crisis de seguridad en las telecomunicaciones surcoreanas.

una de las principales operadoras de telecomunicaciones de Corea del Sur, ha confirmado recientemente que fue víctima de un ciberataque... Read more..

El nuevo troyano para Android 'Herodotus' burla los sistemas antifraude escribiendo como un humano

Herodotus ha sido identificado por investigadores de ThreatFabric como una amenaza emergente que... Read more..

GhostCall y GhostHire: nuevas campañas de malware dirigidas al sector Web3 y blockchain

Investigadores de Kaspersky revelaron dos campañas de malware altamente sofisticadas... Read more..

Mobirise
Contacto

Tel: +52 81 2087 0720
Correo: clientes@uno-tic.com.mx
© Unotic, s.a. de c.v. 2021

Información
Unotic contigo

Mobirise.com