?? La Noche en la que npm se Incendió: Dentro del Colapso de la Cadena de Suministro de JavaScript en 2025 ??

Descubre lo que causó el colapso en la cadena de suministro de JavaScript en 2025 en este intrigante relato.

9 dic 2025 • 7 min de lectura • Equip Q2BSTUDIO

Inside the JavaScript Supply Chain Collapse of 2025

La Noche en la que npm se Incendió: Dentro del Colapso de la Cadena de Suministro de JavaScript en 2025

En 2025 el ecosistema JavaScript sufrió una serie de ataques a la cadena de suministro que pusieron en evidencia la fragilidad de dependencias abiertas y la exposición masiva que generan millones de instalaciones diarias. Proyectos aparentemente inocuos se convirtieron en vectores para robo de credenciales, exfiltración de secretos y, en algunos casos, borrado destructivo de datos. A continuación se resume lo ocurrido, cómo funcionaron los ataques y qué medidas prácticas pueden tomar los equipos de desarrollo y las empresas que ofrecen aplicaciones a medida y software a medida.

La primera ola: ataque a Chalk y Debug, septiembre 2025. Mantenedores comprometidos publicaron versiones troceadas de paquetes populares como chalk, debug, ansi-regex y color-name. El código ofuscado desviaba transacciones de criptomonedas hacia carteras de los atacantes antes de que npm eliminara las versiones maliciosas. El impacto fue mayúsculo dado que estos paquetes suman descargas por miles de millones, ilustrando cómo una dependencia pequeña puede afectar a todo el ecosistema.

El gusano Shai-Hulud, septiembre 2025. Poco después apareció un worm auto replicante que comprometió cuentas reales de desarrolladores y publicó versiones con puertas traseras en paquetes de confianza como ngx-bootstrap, ng2-file-upload y @ctrl/tinycolor. Cada actualización maliciosa robaba tokens de GitHub, tokens de npm y claves de cloud, subía secretos a repositorios públicos de GitHub y reutilizaba tokens robados para propagar la infección. Más de 500 paquetes resultaron comprometidos antes de que el malware fuera neutralizado.

Ola de typosquatting, octubre 2025. Se detectaron paquetes que imitaban nombres populares como react-router-dom, ethers.js, nodemon y zustand. Estos paquetes falsos contenían infostealers en varias etapas que presentaban CAPTCHAs falsos, descargaban un payload oculto de 24 MB y extraían contraseñas del sistema, cookies de navegador y secretos almacenados en keychains. Algunos incluso abrían terminales ocultos para ejecutar instrucciones en segundo plano, mostrando el peligro de los scripts postinstall.

Shai-Hulud 2.0, noviembre 2025. Una segunda oleada, mayor y más agresiva, apuntó a mantenedores de proyectos muy usados como Zapier, ENS Domains, PostHog y Postman. Las versiones troceadas incluían un script preinstall que descargaba y ejecutaba el runtime Bun, lanzaba un payload de 10 MB para robar credenciales, escaneaba secretos con herramientas tipo TruffleHog y subía los datos capturados a miles de repositorios etiquetados con nombres como Sha1-Hulud The Second Coming. Impacto estimado: más de 800 paquetes comprometidos, alrededor de 30 000 repositorios de GitHub utilizados para almacenar credenciales robadas, 400 000 secretos filtrados y cerca del 60% de los tokens de npm expuestos aún activos. También se incluyó un wiper capaz de borrar el directorio home del usuario si se interrumpía la ejecución del malware.

Cómo funcionan estos ataques

Manejo fraudulento de cuentas de mantenedor. Phishing y robo de credenciales permiten a atacantes subir actualizaciones maliciosas a paquetes legítimos.

Typosquatting. Publicar paquetes con nombres muy similares para engañar a desarrolladores y pipelines automatizados.

Dependency confusion. Subir al registry público un paquete con el mismo nombre que uno privado para que CI instale la versión atacante.

Scripts del ciclo de vida maliciosos. Las fases preinstall y postinstall se ejecutan con permisos del desarrollador y sirven para ejecutar binarios, descargar malware y exfiltrar secretos sin interacción visible.

Por qué npm es especialmente vulnerable

npm install equivale a ejecución remota de código cuando los scripts de lifecycle se aceptan sin restricciones. Cualquier cosa que corra en esos scripts se ejecuta con los privilegios del desarrollador, lo que multiplica el riesgo en entornos locales, contenedores y pipelines CI.

Consecuencias en el mundo real

Compromisos a la cadena de suministro pueden backdoorear sistemas corporativos, robar claves de APIs en cloud, secuestrar repositorios de GitHub, infectar CI/CD y propagarse a través de árboles de dependencia. Herramientas comunes y librerías de analítica para React y Next.js fueron vectores de entrada, lo que demuestra que incluso integraciones de uso frecuente deben ser tratadas como riesgo alto.

Medidas defensivas recomendadas

Usar lockfiles y reinstalaciones deterministas. Siempre comprometer package-lock.json o yarn.lock y usar npm ci o yarn --frozen-lockfile en CI para evitar actualizaciones sorpresa a versiones maliciosas.

Deshabilitar o restringir scripts del ciclo de vida. Opciones: npm install --ignore-scripts, modo de bloqueo de scripts de Yarn, la política blocked-by-default de pnpm, o soluciones que permiten listar scripts autorizados. Deno exige permisos explícitos para acceso a red y archivos y puede ser una alternativa cuando se busca un runtime con menos superficie de ataque.

Runtimes y aislamiento. Evaluar runtimes según su enfoque de seguridad: Deno es seguro por defecto sin permisos de I O ni red sin flags; Bun no trae sandbox completo pero incorpora un scanner CVE; pnpm mejora el aislamiento mediante un store direccionable por contenido.

Proteger cuentas del registry. Habilitar 2FA en npm, rotar tokens con frecuencia, usar scopes y tokens de vida corta, y adoptar mecanismos de publicación de confianza como npm provenance para verificar procedencia de paquetes.

Auditoría de dependencias. Ejecutar npm audit, herramientas como Snyk o OSS Index, y vigilar indicadores: saltos de versión inusuales, nuevos mantenedores, paquetes recientemente transferidos y comportamientos extraños en tiempo de instalación.

Buenas prácticas operativas

Minimizar la cantidad de dependencias, auditar las que se usan en aplicaciones a medida y software a medida, automatizar escaneos en pipelines y separar entornos de ejecución para reducir blast radius. Implementar políticas de least privilege para secretos y emplear rotación automática de credenciales en servicios cloud como AWS y Azure.

Comparativa breve de ecosistemas

npm Node ofrece acceso completo por defecto y scripts habilitados por defecto; Deno plantea permisos explícitos y sandbox; Bun tiene scanner incorporado pero no sandbox completo; pnpm bloquea scripts por defecto y mejora aislamiento a nivel de store. Elegir la herramienta adecuada forma parte de una estrategia de defensa en profundidad.

Por qué esto importa para tu negocio

Si tu empresa desarrolla aplicaciones a medida o depende de integraciones como analytics para React y Next.js, un solo paquete comprometido puede exponer secretos corporativos, credenciales cloud y datos de clientes. En Q2BSTUDIO, como empresa especializada en desarrollo de software, aplicaciones a medida, inteligencia artificial y ciberseguridad, trabajamos con clientes para definir arquitecturas seguras, revisar dependencias y aplicar controles que eviten estos escenarios.

Servicios y apoyo de Q2BSTUDIO

Ofrecemos servicios de ciberseguridad y pentesting para evaluar riesgos en la cadena de suministro y hardening de pipelines. Si necesitas una auditoría especializada, puedes conocer nuestros servicios de ciberseguridad diseñados para proteger repositorios, claves y entornos CICD. Para empresas que quieren reducir la exposición mediante automatización y soluciones avanzadas, integramos prácticas de seguridad en el desarrollo de software a medida y en procesos de despliegue en cloud.

Además, ayudamos a integrar inteligencia artificial e ia para empresas en productos y procesos, desde agentes IA hasta dashboards con power bi y servicios de inteligencia de negocio. Si tu proyecto necesita incorporar IA de forma segura y eficiente, consulta nuestras soluciones de inteligencia artificial y transforma la forma en que gestionas datos, automatizas tareas y proteges activos digitales.

Checklist rápido para reducir riesgo hoy

1. Comprometer lockfiles y usar instalaciones deterministas en CI. 2. Restringir o bloquear scripts preinstall y postinstall. 3. Habilitar 2FA y rotar tokens de npm y GitHub. 4. Auditar dependencias y suspender paquetes sospechosos. 5. Segmentar accesos a secretos y usar policies de least privilege en servicios cloud AWS y Azure. 6. Evaluar runtimes alternativos y herramientas que limiten ejecución no autorizada.

Conclusión

Los ataques de 2025 fueron una llamada de atención: instalar dependencias puede equivaler a dar ejecución remota de código si no se aplican controles. No existe una solución única, pero una estrategia por capas que combine buenas prácticas de desarrollo, auditoría continua, protección de cuentas y selección de runtimes reduce drásticamente la probabilidad de un incidente catastrófico. En Q2BSTUDIO combinamos experiencia en desarrollo de software a medida, ciberseguridad, servicios cloud aws y azure, inteligencia de negocio y agentes IA para acompañar a las empresas en este proceso. Si quieres reforzar la seguridad de tus aplicaciones o explorar cómo la IA puede mejorar la detección y respuesta, estamos aquí para ayudar.

Gracias por leer. Equipo Q2BSTUDIO especialistas en aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.