NPM (siglas de 'Node Package Manager') es el nombre del repositorio y gestor de paquetes de NodeJS, un popular entorno de ejecución de JavaScript, que los desarrolladores vienen usando desde hace años para compartir herramientas, administrar dependencias y, en general, publicar proyectos JavaScript de código abierto.

Ahora, la integridad de NPM se ha visto comprometida por un malware infiltrado en el repositorio: se han detectado varios paquetes de software infectados con el malware CursedGrabber. Concretamente, los paquetes afectados son an0n-chat-lib, discord-fix y sonatype, todos ellos publicados por el usuario "scp173-deleted".
Una nueva (y peligrosa) vía de difusión de malware

Una vulnerabilidad así es potencialmente grave porque no afecta únicamente a los equipos de los desarrolladores que vayan a instalar esos paquetes, sino que el malware corrompería también las aplicaciones web creadas por ellos y, así, también a los equipos de sus usuarios.

Por eso, la infección de esta clase de repositorios es una táctica cada vez más usada por los ciberatacantes para garantizar la difusión de su malware.

En Genbeta

No, la palabra 'hacker' no significa 'criminal informático'

Así, el mes pasado el repositorio RubyGems (que ocupa un papel similar a npm, pero entre los desarrolladores en Ruby) detectó la corrupción de dos de sus paquetes con código que robaba criptomonedas mediante el recurso de cambiar la dirección de destino de una transacción por el atacante a la hora de realizar el copy/paste.

Según explicó Ax Sharma, …