Alguien envenenó las herramientas de Red Hat y nadie lo vio venir
La trampa estaba en la actualización de rutina
Imagina que cada mañana recibes el periódico en la puerta de tu casa. Un día, alguien intercepta al repartidor, cambia el periódico por uno con un sobre dentro, y lo deja igualmente en tu felpudo. Tú lo coges, lo abres como siempre, y sin saberlo has activado algo que no debería estar ahí.
El 1 de junio de 2026, atacantes desconocidos publicaron versiones maliciosas de al menos 32 paquetes de software bajo el sello oficial de Red Hat en npm, el repositorio del que millones de desarrolladores de todo el mundo descargan herramientas a diario.
La clave del engaño es que no se trataba de paquetes falsos con nombres parecidos para confundir. Los atacantes secuestraron directamente el espacio oficial y publicaron versiones manipuladas de componentes ampliamente utilizados. El sello era legítimo. El contenido, no.
¿Qué hace el malware una vez dentro?
El código malicioso, bautizado como Miasma, tiene un objetivo claro: robar las llaves del reino.
Una vez instalado, el programa roba tokens de acceso a GitHub, credenciales de servicios cloud como AWS, Google Cloud y Azure, claves de acceso remoto SSH y prácticamente cualquier secreto almacenado en la máquina, enviando todo eso de forma encubierta a los servidores del atacante.
Traducido: si una empresa usó alguno de estos paquetes el día del ataque, existe la posibilidad de que alguien tenga ahora mismo acceso a su infraestructura en la nube, a su código fuente o a sus sistemas internos.
Lo que hace este caso diferente a otros ataques
Los paquetes maliciosos superaron los controles de seguridad automáticos de las empresas porque venían con certificados de autenticidad válidos. Cuando quien publica el código es el atacante haciéndose pasar por el proveedor legítimo, las herramientas diseñadas para detectar fraudes simplemente no ven nada raro.
Es el equivalente digital a que un ladrón consiga el uniforme oficial del servicio de mensajería. Las cámaras de seguridad lo ven entrar. Nadie para a nadie. Todo parece normal.
La atribución está siendo difícil porque el grupo detrás del ataque publicó previamente sus propias herramientas en internet de forma abierta, permitiendo que cualquier otro actor las copie y las use, diluyendo así las huellas.
El patrón que nadie debería ignorar
Este no es un caso aislado. Desde finales de abril, se han registrado ataques similares contra herramientas de SAP, contra librerías usadas por empresas de inteligencia artificial como Mistral, y contra componentes de Microsoft, siempre usando la misma lógica: comprometer el canal de distribución oficial para que el malware llegue con etiqueta de garantía.
En ciberseguridad llevamos años hablando de que el eslabón más débil es el humano. Miasma nos recuerda que a veces el eslabón más débil es la confianza ciega que depositamos en los sistemas automáticos.
Lo invisible también se defiende. Y esto ya no es invisible.
— Fuentes
https://www.wiz.io/blog/miasma-supply-chain-attack-targeting-redhat-npm-packages
Fdo. Lautaro Enrique
C4E Friend I Security Analist & Networking
