Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 723

Paquete malicioso de npm

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Paquete malicioso de npm?

Paquete malicioso de npmPaquete de npm que contiene codigo oculto para robar datos, instalar malware o comprometer aplicaciones que lo incluyan al instalarse.


Un paquete malicioso de npm aprovecha la confianza de los desarrolladores en el registro publico. Los atacantes publican paquetes nuevos, secuestran proyectos abandonados o comprometen cuentas de mantenedores para subir versiones contaminadas de bibliotecas muy usadas. Cargas habituales: robo de credenciales y tokens, drenaje de wallets de criptomonedas y droppers que se ejecutan en la instalacion mediante scripts de ciclo de vida. Casos notorios: event-stream (2018), donde un nuevo mantenedor inyecto un ladron de wallets Copay, y ua-parser-js (2021), cuyas versiones comprometidas instalaron miners y robaderos de contrasenas en millones de equipos. Defensas: lockfiles, --ignore-scripts, 2FA para mantenedores, SBOMs, escaneres de dependencias y atestaciones de procedencia.

Ejemplos

  1. 01

    event-stream 2018: un nuevo mantenedor agrego flatmap-stream para robar fondos de wallets Copay.

  2. 02

    ua-parser-js 2021: versiones secuestradas instalaron un miner de cripto y un ladron de credenciales.

Preguntas frecuentes

¿Qué es Paquete malicioso de npm?

Paquete de npm que contiene codigo oculto para robar datos, instalar malware o comprometer aplicaciones que lo incluyan al instalarse. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

¿Qué significa Paquete malicioso de npm?

Paquete de npm que contiene codigo oculto para robar datos, instalar malware o comprometer aplicaciones que lo incluyan al instalarse.

¿Cómo defenderse de Paquete malicioso de npm?

Las defensas contra Paquete malicioso de npm combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Paquete malicioso de npm?

Nombres alternativos comunes: Paquete contaminado, Liberacion npm maliciosa.

Términos relacionados

Véase también