Acceso

Tecnología y consumo

Amazon

El motivo por el que Amazon te pide revisar tu software: un malware masivo está robando tus credenciales

Una campaña masiva de paquetes npm autorreplicantes pone en jaque la seguridad del software abierto y revela cómo los incentivos económicos pueden contaminar el ecosistema desde dentro

Amazon recibe una demanda de más de 69.000 millones de euros para su emisión de bonos de 10.356 millones
Amazon confirma una campaña masiva de paquetes npm autorreplicantes que buscan inflar métricas y obtener criptomonedasEuropa Press
Diego Real
Creada:
Última actualización:

En el internet actual, cualquier paso en falso puede ponernos en riesgo: desde instalar una aplicación hasta descargar un paquete npm inofensivo.

Y esto último es lo que ha puesto en peligro a miles de desarrolladores que, sin saberlo, estaban participando, sin querer, en una de las campañas de fraude más masivas que se ha visto en la historia del código abierto.

Cuando el código abierto se convierte en moneda

Todo empezó con una investigación de Endor Labs, que detectó más de 43.000 paquetes autorreplicantes en npm.

Es decir, no robaban datos ni cifraban archivos, pero se duplicaban al ejecutarse, como si esperaran el momento de activarse silenciosamente.

Algunos incluían archivos tea.yaml, vinculados al protocolo tea.xyz, una plataforma que recompensa a desarrolladores con tokens por sus contribuciones.

Por lo que se intuye, los atacantes estaban inflando métricas falsas para ganar criptomonedas.

Y lo hacían a lo grande. Amazon, a través de su servicio Amazon Inspector, confirmó la magnitud del ataque: donde se detectaron más de 150.000 paquetes maliciosos, triplicando las cifras iniciales.

Pero lo más preocupante no son solo los números, sino la facilidad de acceso a estos datos y lo sencillo que les fue pasar desapercibidos.

Y es que los paquetes se cargaron durante dos años, desde al menos 11 cuentas distintas, y se camuflaron entre millones de descargas semanales.

No buscaban robar directamente, sino contaminar el ecosistema y aprovecharse de sus beneficios.

Cabe destacar la velocidad con la que Amazon puso fin al problema: tardó apenas una semana en actualizar sus reglas, identificar los paquetes y validar los resultados con OpenSSF.

Detectar no es suficiente

Eso sí, aunque la industria aplaude la rapidez con la que se detectó la amenaza, también hay una preocupación que no se puede ignorar: la seguridad de la cadena de suministro digital está en juego.

Ya que cuando los incentivos económicos pesan más que la ética del desarrollo, el problema ya no son solo los virus o los fallos de código.

El verdadero riesgo aparece cuando se diseñan sistemas que premian la cantidad por encima de la calidad, y donde basta con inflar métricas para ganar dinero.

Ahí es donde el ser humano, movido por la ambición y el interés, termina contaminando el ecosistema desde dentro.

Así que si Amazon te pide revisar tu software, no lo tomes como una sugerencia. Es una advertencia.

Accede a tu cuenta para comentar

Noticias destacadas