El software de código abierto se ha convertido en uno de los principales vectores de entrada del malware moderno. Así lo demuestra el nuevo informe trimestral de Sonatype, correspondiente al segundo trimestre de 2025, que documenta la detección de 16.279 nuevos paquetes maliciosos en los principales repositorios públicos, como npm, PyPI o Maven Central. Esta cifra representa un crecimiento del 188 % respecto al mismo periodo de 2024, y eleva a 845.204 el total acumulado de paquetes maliciosos registrados desde que Sonatype inició su seguimiento.
Robo de datos: el objetivo principal
Los repositorios públicos acumulan ya más de 845.000 paquetes maliciosos
Más de la mitad de los paquetes maliciosos detectados, concretamente el 55 %, están diseñados para exfiltrar información confidencial de los entornos de desarrollo. Entre los datos más buscados figuran credenciales de acceso, tokens de API, claves en entornos cloud, secretos almacenados en archivos de configuración (.npmrc, .env) y datos personales. Sólo en este trimestre, se identificaron más de 4.400 paquetes con este comportamiento, lo que, según investigadores de Sonatype, “evidencia una sofisticación creciente en las tácticas de los atacantes”.
Los desarrolladores se han convertido en un objetivo estratégico por su acceso a información crítica y por el uso habitual de librerías externas no auditadas. Como explica Garrett Calpouzos, principal investigador de amenazas en Sonatype, “los atacantes saben exactamente dónde buscar secretos dentro de un sistema de desarrollo: ficheros locales, variables de entorno o configuraciones mal protegidas”.
Sabotajes y campañas dirigidas
Una tendencia que se consolida es el uso de paquetes diseñados para corromper código o sabotear proyectos. Este tipo de malware representa ya el 3 % del total, lo que equivale a más de 400 paquetes maliciosos detectados en solo tres meses, y supone el doble que en el trimestre anterior. Aunque la minería de criptomonedas sigue presente, solo representa ya el 5 % de los casos, confirmando que el foco de los atacantes ha cambiado hacia ataques más furtivos y lucrativos.
El informe también señala el papel de actores estatales o vinculados a grupos organizados. Lazarus Group, asociado al régimen norcoreano, ha distribuido al menos 107 paquetes maliciosos durante el trimestre, con más de 30.000 instalaciones confirmadas antes de su retirada. Sus herramientas estaban diseñadas para robar credenciales, establecer conexiones remotas y ejecutar código malicioso.
Por su parte, la campaña conocida como Yeshen‑Asia, atribuida a orígenes chinos, desplegó más de 95 paquetes en npm usando cuentas distintas para ocultar su trazabilidad. Uno de los paquetes, identificado como exr-js-util, alcanzó las 23.000 descargas antes de ser detectado, y usaba dominios bajo el control de yeshen.asia como punto de exfiltración.
El firewall como defensa
Durante el trimestre, Sonatype Repository Firewall bloqueó 5.354.199 intentos de descarga de paquetes maliciosos, siendo el 89 % de ellos dirigidos a entidades financieras.
Sonatype insiste en que es imprescindible que las organizaciones adopten medidas estructurales para proteger su cadena de suministro de software. Entre sus recomendaciones figuran:
- Generar un inventario completo de dependencias, mediante SBOM (Software Bill of Materials).
- Verificar la procedencia de los paquetes y los autores.
- Aislar los entornos de desarrollo y limitar el acceso directo a repositorios públicos.
- Analizar los comportamientos en tiempo de instalación, especialmente scripts postinstall y dependencias secundarias.
Como concluye Brian Fox, CTO de Sonatype, “los atacantes ya no intentan comprometer servidores finales, sino que buscan el camino más fácil: entrar en la empresa a través del código que descargamos cada día sin auditar”.
