Kaspersky reveló que durante 2024 se identificaron 14 mil paquetes maliciosos en proyectos de código abierto, lo que representa un incremento del 50 % en comparación con el año anterior. La compañía analizó más de 42 millones de versiones de paquetes en plataformas ampliamente utilizadas por desarrolladores como GoMod, Maven, NuGet, npm y PyPI.
Este ecosistema, valorado por permitir el uso, modificación y mejora del código, ha sido cada vez más aprovechado por ciberdelincuentes que insertan amenazas ocultas en herramientas aparentemente legítimas.
Francisco Carrasco M.
Uno de los incidentes más graves fue protagonizado por el grupo Lazarus, que en marzo de 2025 publicó archivos maliciosos en npm, una de las plataformas más populares entre los desarrolladores. Estos archivos fueron descargados varias veces antes de ser eliminados, y estaban diseñados para robar contraseñas, datos de billeteras digitales y crear accesos ocultos. Además, simulaban ser confiables al vincularse con enlaces de GitHub.
También se registró un caso crítico con XZ Utils, una herramienta esencial en sistemas Linux, en cuyas versiones 5.6.0 y 5.6.1 se descubrió una puerta trasera que permitía a atacantes tomar control remoto de servidores. La amenaza fue introducida por un colaborador de confianza y solo fue detectada gracias a fallos de rendimiento, lo que evidenció las vulnerabilidades en la cadena de suministro de software.
Otro incidente ocurrió en PyPI, donde se identificaron archivos maliciosos con nombres como chatgpt-python y chatgpt-wrapper, que pretendían ser herramientas para trabajar con ChatGPT. En realidad, eran programas diseñados para robar credenciales y abrir accesos remotos, aprovechando la popularidad de la inteligencia artificial para engañar a los desarrolladores.
Fabio Assolini, Director del Equipo de Investigación y Análisis para América Latina en Kaspersky, afirmó:
“El software de código abierto es la base de muchas de las tecnologías que usamos todos los días. Pero esa apertura, que lo hace tan útil, también lo vuelve vulnerable. El aumento del 50 % en paquetes maliciosos que vimos en 2024 demuestra que los ciberdelincuentes están aprovechando esta confianza para esconder amenazas dentro de herramientas ampliamente utilizadas. Si una sola de estas herramientas está comprometida, el impacto puede extenderse rápidamente a miles de empresas o usuarios. Por eso, es urgente que las organizaciones revisen con cuidado los componentes que usan y fortalezcan sus mecanismos de seguridad antes de que ocurra un incidente de gran escala como el caso de XZ Utils”.
Fabrizio Ballarino
Recomendaciones de Kaspersky
Para mitigar estos riesgos, los especialistas de Kaspersky entregan las siguientes recomendaciones:
- Verificar la reputación de los paquetes utilizados: Revisar que los archivos provengan de desarrolladores o comunidades confiables, con historial de versiones, documentación y actividad reciente.
- Mantenerse informado sobre amenazas emergentes: Suscribirse a boletines y alertas de seguridad específicas del ecosistema de código abierto.
- Monitorear los componentes usados: Utilizar herramientas que analicen archivos y bibliotecas para identificar amenazas ocultas antes de que causen daño.
- Realizar una evaluación especializada ante sospechas: En caso de detectar indicios de compromiso, se recomienda el servicio Compromise Assessment de Kaspersky para identificar ataques actuales o pasados.
