El grupo TeamPCP ha publicado el código fuente del gusano Shai-Hulud en GitHub, permitiendo que otros atacantes creen sus propias variantes. Este malware infecta paquetes de npm para robar credenciales de servicios como AWS y Azure, pudiendo borrar entornos locales si falla. Expertos advierten que ya existen imitadores expandiendo el alcance de esta herramienta destructiva.

Se ha detectado un compromiso significativo de la cadena de suministro que afecta a 84 artefactos de paquetes npm dentro del espacio de nombres de TanStack. Las versiones maliciosas contienen una carga útil diseñada para el robo de credenciales, dirigida específicamente a sistemas de integración continua (CI), como GitHub Actions. Según Socket, el ataque abarca 42 paquetes de TanStack, con dos versiones maliciosas cada uno.

El grupo TeamPCP lanzó la campaña Mini Shai-Hulud, comprometiendo paquetes de npm y PyPI de empresas como TanStack, Mistral AI y UiPath mediante un ataque de cadena de suministro. El malware roba credenciales de la nube, criptomonedas y herramientas de IA, logrando persistencia en VS Code y propagándose automáticamente entre paquetes. El incidente, calificado como crítico (CVE-2026-45321), destaca por evadir detecciones y utilizar flujos de GitHub Actions para distribuir versiones maliciosas validadas.

Un nuevo ataque a la cadena de suministro está dirigiéndose al ecosistema de desarrolladores de SAP mediante paquetes npm envenenados. La campaña utiliza un gusano malicioso llamado “Mini Shai-Hulud”, que se ejecuta en silencio antes de que finalice cualquier instalación de npm y roba credenciales de máquinas de desarrolladores, plataformas en la nube y herramientas de codificación con IA. El ataque afectó a cuatro paquetes oficiales publicados por SAP: mbt, @cap-js/sqlite, @cap-js/postgres y otros.

Un paquete falso de npm ha sido descubierto robando silenciosamente credenciales sensibles de desarrolladores al hacerse pasar por la ampliamente confiable biblioteca TanStack. El paquete, publicado bajo el nombre sin ámbito “tanstack” en el registro de npm, engañó a los desarrolladores para que lo instalaran en lugar de los paquetes legítimos “@tanstack/*”. Una vez instalado, ejecutó scripts ocultos que enviaban archivos de variables de entorno directamente a un servidor remoto.

Investigadores en ciberseguridad han revelado recientemente tres vulnerabilidades de severidad moderada en OpenClaw, un marco de trabajo para agentes de IA anteriormente conocido como Clawdbot y Moltbot. Distribuido como un paquete npm, estos fallos de seguridad permiten eludir la aplicación de políticas, mutaciones en la configuración de pasarelas y ataques de sobrescritura de host, lo que podría derivar en la exposición de credenciales. El equipo de desarrollo ha lanzado la versión 2026.4.20 de OpenClaw para abordar estos problemas.

Dos versiones maliciosas de la popular biblioteca HTTP de JavaScript Axios se publicaron brevemente en el registro de npm el 31 de marzo de 2026. Cada versión incluía una dependencia oculta que instalaba un troyano de acceso remoto (RAT) en sistemas macOS, Windows y Linux. 

Una biblioteca de JavaScript ampliamente utilizada llamada Axios fue el centro de un grave ataque a la cadena de suministro que salió a la luz el 31 de marzo de 2026. Dos versiones actualizadas del paquete Axios en npm —la versión 1.14.1 y la versión 0.30.4— contenían código malicioso diseñado para instalar silenciosamente software dañino en las máquinas de los desarrolladores

Un grupo de amenazas vinculado a Corea del Norte ha logrado secuestrar una de las bibliotecas de JavaScript más utilizadas en internet, inyectando malware en millones de entornos de desarrollo potenciales. El 31 de marzo de 2026, los atacantes obtuvieron acceso al paquete Axios Node Package Manager (npm) utilizando credenciales robadas de un mantenedor, convirtiendo una herramienta confiable en un arma contra víctimas desprevenidas

Un sofisticado ataque a la cadena de suministro ha afectado a Axios, uno de los clientes HTTP más utilizados en el ecosistema JavaScript, al introducir una dependencia transitiva maliciosa en el registro oficial de npm. Como componente crítico en frameworks frontend, microservicios backend y aplicaciones empresariales, Axios registra aproximadamente 83 millones de descargas semanales en npm.

La comunidad de desarrollo de criptomonedas enfrenta una grave amenaza en la cadena de suministro tras descubrirse cinco paquetes npm maliciosos que roban claves privadas de billeteras y las envían directamente a un bot de Telegram. Publicados bajo la cuenta npm galedonovan, estos paquetes fueron diseñados para parecer bibliotecas confiables en las que los desarrolladores de Solana y Ethereum confían a diario. 

Un ataque coordinado a la cadena de suministro impactó a la comunidad de desarrolladores el 16 de marzo de 2026, cuando un actor de amenazas conocido como Glassworm introdujo puertas traseras en dos paquetes npm populares de React Native, convirtiéndolos en ladrones silenciosos de credenciales y criptomonedas. Los paquetes afectados —react-native-country-select@0.3.91 y react-native-international-phone-number@0.11.8— fueron publicados con minutos de diferencia por el mismo editor, AstrOOnauta

Los investigadores de seguridad de JFrog, Guy Korolevski y Meitar Palas, descubrieron un sofisticado ataque a la cadena de suministro en el ecosistema npm el 12 de marzo de 2026, en el que actores de amenazas disfrazaron un malware robador de información como un ejecutor de scripts legítimo de Roblox. La campaña, autodenominada Cipher stealer, utilizó dos paquetes maliciosos: bluelite-bot-manager y test-logsmodule-v-zisko, para distribuir un ejecutable de Windows capaz de recolectar credenciales de Discord