Paquetes open source de Microsoft manipulados para robar contrasenas de desarrolladores de IA

La seguridad de la cadena de suministro de software se ha vuelto uno de los frentes mas apremiantes para la seguridad empresarial en los ultimos tres anos; los atacantes ya no buscan directamente a las organizaciones, sino a las dependencias que ellas utilizan. Un nuevo hallazgo recogido por TechCrunch muestra que paquetes open source con apariencia de Microsoft fueron manipulados para robar contrasenas a desarrolladores de IA.

Un informe de la empresa de seguridad Socket identifico paquetes publicados en el registro NPM con el nombre microsoft-typescript-toolkit, que llevaban la marca Microsoft sin autorizacion. Los nombres son muy proximos a las herramientas oficiales de la comunidad; esta tecnica, conocida como typosquatting, lleva tiempo en lo mas alto del repertorio de ataque.

Tras la instalacion, el codigo malicioso recorria el directorio del usuario en busca de los archivos de configuracion de Hugging Face, OpenAI, Anthropic y Microsoft Azure CLI y exfiltraba claves de API y tokens de sesion a un servidor remoto. El investigador de Socket, Mick Boyd, dijo a TechCrunch que el objetivo no era un solo terreno, sino la cartera del desarrollador de IA.

Los paquetes acumularon unas 8.000 descargas en los siete primeros dias tras su publicacion. Todos fueron retirados despues por NPM y GitHub. El Microsoft Security Response Center confirmo que los paquetes no pertenecian a la compania y que Microsoft solo publica desde cuentas de editor empresarial verificadas.

Un rasgo distintivo del caso es que el componente de robo de contrasenas no estaba conectado de forma fija a un simple POST HTTP, sino que solo se activaba si la maquina tenia directorios conocidos de configuracion LLM. Este enfoque de carga condicional se describe como un metodo que aumenta la probabilidad de eludir la deteccion. Si los archivos no estan presentes, el codigo no hace nada.

Herramientas como GitGuardian y Snyk han informado en los ultimos meses de que los tokens de Hugging Face y las claves de API LLM se han convertido en algunos de los activos mas valiosos del mercado clandestino. Una vez robadas, los atacantes pueden ejecutar llamadas a modelos a nombre de la organizacion, disparar su factura y exfiltrar datos confidenciales. Algunas organizaciones solo descubren el abuso tras horas de cargos de API inesperados.

Microsoft recomendo a los clientes rotar las credenciales de Azure y GitHub y escanear los paquetes NPM y PyPI con el prefijo microsoft segun las politicas de seguridad de la empresa. La compania anuncio que planea destacar el sello de Verified Publisher para la clientela corporativa; el asunto figura en la agenda de la reunion de gobernanza de NPM en septiembre.

El incidente tambien atrajo la atencion sobre el ecosistema PyPI en Python. Un analisis citado por TechCrunch muestra que 47 paquetes PyPI relacionados con IA en los ultimos cuatro meses han dirigido el robo de credenciales de forma similar. Los mantenedores de PyPI debaten anadir una capa adicional de revision para patrones de nombres relacionados con IA.

Las recomendaciones a corto plazo para desarrolladores incluyen comprobar los datos de procedencia antes de instalar paquetes nuevos, activar la funcion audit signatures de NPM y leer las claves de API LLM desde un almacen de claves de hardware en lugar de archivos locales en texto plano. La automatizacion de la rotacion de claves se senala tambien como prioridad.

El cuadro general es claro: los desarrolladores de IA son el nuevo objetivo prioritario de los ataques a la cadena de suministro. Como recuerda TechCrunch, la carga util ya no es el numero de tarjeta sino la clave de acceso LLM. Eso esta reescribiendo las prioridades de los equipos de seguridad a lo largo de 2026. Este texto no constituye consejo de inversion.