Un nuevo ataque a la cadena de suministro está dirigiéndose al ecosistema de desarrolladores de SAP mediante paquetes npm envenenados. La campaña utiliza un gusano malicioso llamado “Mini Shai-Hulud”, que se ejecuta en silencio antes de que finalice cualquier instalación de npm y roba credenciales de máquinas de desarrolladores, plataformas en la nube y herramientas de codificación con IA. El ataque afectó a cuatro paquetes oficiales publicados por SAP: mbt, @cap-js/sqlite, @cap-js/postgres y otros.

La Comisión Europea sufrió recientemente una grave brecha de datos en su plataforma web principal, europa.eu, como consecuencia de un compromiso en la cadena de suministro que involucró al popular escáner de vulnerabilidades de código abierto, Trivy. El 3 de abril de 2026, CERT-EU publicó un aviso oficial en el que detallaba cómo un actor de amenazas conocido como TeamPCP explotó la herramienta de integración y entrega continua (CI/CD) comprometida para extraer datos de Amazon

Una biblioteca de JavaScript ampliamente utilizada llamada Axios fue el centro de un grave ataque a la cadena de suministro que salió a la luz el 31 de marzo de 2026. Dos versiones actualizadas del paquete Axios en npm —la versión 1.14.1 y la versión 0.30.4— contenían código malicioso diseñado para instalar silenciosamente software dañino en las máquinas de los desarrolladores

Un nuevo gusano de cadena de suministro está atacando activamente el ecosistema npm, con un equipo de investigación identificando al menos 19 paquetes maliciosos diseñados para robar secretos de desarrolladores y CI/CD, y propagarse automáticamente a través de repositorios y flujos de trabajo. La campaña, rastreada como SANDWORMMODE, utiliza paquetes npm con typosquatting y GitHub Actions envenenadas para infectar tanto máquinas de desarrolladores.