Paquetes NuGet maliciosos roban datos de aplicaciones ASP.NET y ponen en riesgo a miles de desarrolladores

Malware en NuGet: Paquetes maliciosos roban credenciales de ASP.NET Core

La plataforma NuGet, ampliamente utilizada por desarrolladores para gestionar y distribuir bibliotecas en proyectos de .NET, ha sido objeto de una nueva campaña de distribución de malware que compromete aplicaciones basadas en ASP.NET Core. Investigadores de seguridad han detectado varios paquetes maliciosos diseñados para robar credenciales y datos sensibles de los desarrolladores y usuarios finales, lo que representa una amenaza significativa para el ecosistema de desarrollo .NET.

Contexto y detección del ataque

La campaña maliciosa involucra la publicación de paquetes contaminados en el repositorio oficial de NuGet. Estos paquetes, que aparentan ser legítimos y útiles para desarrolladores, contienen código oculto que se ejecuta durante el proceso de compilación o en tiempo de ejecución de la aplicación. El objetivo principal es capturar credenciales, tokens de autenticación y otra información sensible presente en las aplicaciones ASP.NET Core, especialmente las que utilizan servicios de autenticación basados en cookies o tokens.

Los investigadores identificaron esta amenaza mediante un análisis de comportamiento de paquetes con indicadores sospechosos, como llamadas a servidores remotos desconocidos y modificaciones no autorizadas en el flujo estándar de ejecución. La sofisticación del malware le permite activarse únicamente en entornos específicos, dificultando su detección en pruebas rutinarias.

Mecanismo de propagación y ejecución

Los atacantes aprovecharon el entorno NuGet para subir múltiples paquetes con nombres cuidadosamente seleccionados para parecer útiles o populares dentro del ámbito ASP.NET Core. Una vez que un desarrollador añade uno de estos paquetes a su proyecto, el código malicioso se inserta directamente en el proceso de ejecución o de construcción:

El código inyectado intercepta y extrae tokens de autenticación y cookies de sesión.
Envía esta información cifrada a servidores externos controlados por los atacantes.
Algunas variantes lograban persistir en aplicaciones compiladas para continuar robando datos en entornos productivos.

Esta técnica REMOTE CODE EXECUTION (RCE) basada en dependencia compromete la cadena de suministro del software, un vector de ataque cada vez más frecuente y peligroso. Las aplicaciones que dependen exclusivamente de estos paquetes maliciosos para funciones críticas quedaron expuestas a robo de credenciales y potencial acceso no autorizado.

Impacto y recomendaciones para mitigación

El impacto de esta campaña se extiende tanto a desarrolladores como a usuarios finales de aplicaciones infectadas. Los desarrolladores podrían comprometer sus entornos y credenciales personales, mientras que los usuarios podrían ser víctimas de robo de sesiones o elevación de privilegios en aplicaciones web basadas en ASP.NET Core.

Para mitigar este riesgo, se recomienda:

Auditar regularmente las dependencias de proyectos, verificando la reputación y procedencia de cada paquete.
Implementar controles y políticas estrictas para la gestión de dependencias, incluyendo análisis estáticos y dinámicos de código.
Mantener actualizados los entornos de desarrollo y CI/CD con herramientas de detección de malware en paquetes.
Adoptar técnicas de monitoring y logging avanzadas para detectar comportamientos anómalos en aplicaciones una vez desplegadas.
Utilizar servicios de reputación y escaneo automático que alerten sobre paquetes sospechosos antes de integrarlos.

Conclusión

Esta campaña pone de relieve la vulnerabilidad inherente en la cadena de suministro de software, en especial en ecosistemas populares como .NET y NuGet. Los atacantes evolucionan constantemente sus métodos para pasar desapercibidos y comprometer credenciales críticas, amenazando tanto la integridad de las aplicaciones como la seguridad de sus usuarios. La prevención efectiva requiere conciencia, auditoría continua y adopción de controles técnicos rigurosos por parte de todos los actores involucrados en el ciclo de vida del software.

Para más detalles técnicos y actualizaciones, se recomienda consultar la fuente original:
https://thehackernews.com/2026/02/malicious-nuget-packages-stole-aspnet.html

← Las 5 Principales Formas en que una Mala Clasificación de Incidentes Aumenta el Riesgo de Ciberataques Procesos manuales ponen en riesgo la seguridad nacional, advierten expertos →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil