### Detalles del Ataque El ataque, descubierto en múltiples paquetes de **Namastex Labs**, aprovecha técnicas para el robo de credenciales, exfiltración de datos y auto-propagación. Si bien existen similitudes con los ataques CanisterWorm de **TeamPCP**, la atribución definitiva aún no se ha confirmado. **Socket** ha identificado 16 paquetes comprometidos de **Namastex**, incluyendo: * @automagik/genie (4.260421.33-4.260421.39) * pgserve (1.1.11–1.1.13) * @fairwords/websocket (1.0.38-1.0.39) * @fairwords/loopback-connector-es (1.4.3-1.4.4) * @openwebconcept/[email protected] * @openwebconcept/[email protected] Estos paquetes, utilizados en herramientas de agentes de IA y operaciones de bases de datos, sugieren un enfoque en objetivos de alto valor. La naturaleza similar a un gusano del ataque permite una rápida propagación bajo las condiciones adecuadas. ### Exfiltración de Datos y Auto-Propagación El código malicioso tiene como objetivo recopilar datos sensibles, incluyendo tokens, API keys, SSH keys, credenciales para servicios en la nube, sistemas CI/CD, registros, plataformas LLM y configuraciones de Kubernetes/Docker. También apunta a datos sensibles almacenados en **Chrome** y **Firefox**, incluyendo billeteras de criptomonedas como **MetaMask**, **Exodus**, **Atomic Wallet** y **Phantom**. **StepSecurity** describe el malware como un "gusano de cadena de suministro" capaz de identificar tokens de publicación de npm e inyectarse en otros paquetes que el token comprometido pueda publicar, profundizando la brecha. Versiones maliciosas de `pgserve` fueron publicadas inicialmente el 21 de abril. Si se encuentran tokens de publicación, el script identifica paquetes publicables, inyecta el payload y los vuelve a publicar con números de versión incrementados, creando una propagación recursiva. Si se encuentran credenciales de **PyPI**, se aplica un método similar a los paquetes de Python a través de un payload basado en `.pth`, convirtiéndolo en una amenaza multi-ecosistema. ### Mitigación Los desarrolladores deben tratar inmediatamente todas las versiones de paquetes listadas como maliciosas, eliminándolas de los sistemas y pipelines CI/CD, y rotando todos los secretos potencialmente expuestos. Tanto **Socket** como **StepSecurity** proporcionan indicadores de compromiso (IOCs) para ayudar a identificar entornos comprometidos. Las acciones recomendadas incluyen: * Eliminar los paquetes afectados de los sistemas de desarrollo y CI/CD. * Rotar todas las credenciales y datos secretos. * Buscar espejos de paquetes internos, artefactos y cachés. **Socket** también aconseja auditar paquetes relacionados que compartan el mismo archivo `public.pem`, host de webhook o patrón `postinstall`.