36 paquetes maliciosos npm Strapi utilizados para implementar Redis RCE y malware C2 persistente
Resumen Informativo
De acuerdo a la publicación titulada 36 paquetes maliciosos npm Strapi utilizados para implementar Redis RCE y malware C2 persistente, difundida en fecha 06/04/2026 05:52, por el medio Cybersecuritynews (Autor: Tushar Subhra Dutta):
Se ha descubierto un ataque coordinado a la cadena de suministro dirigido a desarrolladores que crean aplicaciones en Strapi, un sistema de gestión de contenidos de código abierto ampliamente utilizado. Se publicaron en el registro de npm treinta y seis paquetes npm maliciosos disfrazados de complementos Strapi legítimos, con cargas útiles diseñadas para explotar Redis para la ejecución remota de código, robar credenciales y establecer un acceso persistente de comando y control en los servidores de las víctimas.
La campaña se centró deliberadamente en una plataforma de pago con criptomonedas, lo que la convirtió en uno de los ataques a la cadena de suministro de software más específicos vistos en los últimos tiempos. Las ocho variantes de payload iban desde la ejecución remota de código de Redis y el escape de contenedores Docker en los primeros paquetes, hasta la recolección de credenciales y la exploit directa de la base de datos PostgreSQL en los posteriores. La sexta carga útil, strapi-plugin-seed, se conectó a la base de datos PostgreSQL de la víctima utilizando credenciales codificadas y buscó bases de datos denominadas guardarian, guardarian_paids, exchange y custody. Todos los datos robados (incluidos archivos de entorno, claves privadas, volcados de Redis, secretos de Docker y tokens de cuentas de servicio de Kubernetes) se enviaron en texto plano a través de HTTP sin cifrado. El impacto de un compromiso exitoso habría sido severo, dándole al atacante acceso directo a las credenciales de la billetera activa, tablas de transacciones y la base de datos financiera completa de una plataforma de pago activa. Implante persistente y ejecución sin archivos Las dos últimas variantes de carga útil, ambas publicadas con el nombre del paquete strapi-plugin-api, representaron la etapa más avanzada de la campaña.
Las organizaciones que utilizan Strapi deben auditar inmediatamente los paquetes npm instalados y eliminar los que coincidan con los nombres maliciosos en los indicadores de compromiso. La publicación 36 paquetes maliciosos npm Strapi utilizados para implementar Redis RCE y malware C2 persistente apareció por primera vez en Cyber Security News.
| Fuente: | Cybersecuritynews |
| Título original: | 36 paquetes maliciosos npm Strapi utilizados para implementar Redis RCE y malware C2 persistente |
| Publicado: | 06/04/2026 05:52 |
| Enlace: | https://cybersecuritynews.com/36-malicious-npm-strapi-packages |
| Consultado: | 06/04/2026 |
