Investigadores en ciberseguridad han identificado dos paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacían pasar por herramientas de corrección ortográfica, pero que en realidad contenían funcionalidad diseñada para descargar e instalar un troyano de acceso remoto (RAT). Aunque los paquetes ya han sido eliminados del repositorio oficial, no antes de ser descargados colectivamente más de 1.000 veces, el incidente vuelve a poner en evidencia la fragilidad de la cadena de suministro de software de código abierto.
Los paquetes, denominados corrector_ortografico y corrector-ortografico, imitaban deliberadamente el nombre y la funcionalidad de bibliotecas legítimas para engañar a desarrolladores desprevenidos. Según explicó Charlie Eriksen, investigador de seguridad en Aikido, la campaña se caracterizó por una estrategia de activación progresiva, diseñada para evadir detecciones tempranas y generar confianza.
Activación gradual para evadir detección
“El atacante publicó primero tres versiones ‘inactivas’”, explicó Eriksen. Estas versiones contenían la carga útil maliciosa codificada, pero carecían de un disparador que ejecutara el código. Posteriormente, el actor activó el ataque con la publicación de corrector_ortografico v1.2.0, añadiendo un mecanismo de ejecución ofuscado que se dispara en el momento en que el paquete es importado en un entorno Python.
Este enfoque demuestra un conocimiento avanzado de cómo funcionan los procesos de revisión automatizada y cómo ganar legitimidad antes de desplegar una carga activa.
Carga útil oculta en un archivo de diccionario
A diferencia de muchas campañas similares, que esconden su lógica maliciosa en archivos
1 | __init__.py |
, este ataque utilizó una técnica menos común. La carga útil se ocultó dentro de un archivo aparentemente inofensivo llamado
1 | resources/eu.json.gz |
, que contiene frecuencias de palabras en lengua vasca tomadas del paquete legítimo pyspellchecker.
Aunque el paquete parecía legítimo tras una inspección superficial, el comportamiento malicioso se activaba cuando el archivo comprimido era procesado mediante la función:
Este proceso hacía que el paquete recuperara un descargador codificado en Base64, oculto dentro del diccionario bajo una clave denominada “corrector_ortografico”, iniciando así la cadena de infección.
Descarga y ejecución del RAT
Las tres primeras versiones del paquete se limitaban a recuperar y descodificar la carga útil, pero sin ejecutarla. Esta capacidad se introdujo de forma deliberada en la versión 1.2.0, publicada el 21 de enero de 2026, marcando el inicio de la fase activa del ataque.
La primera etapa consiste en un descargador escrito en Python, diseñado para recuperar un RAT completo desde el dominio externo
1 | updatenet[.]trabajo |
. Este componente es capaz de:
-
Obtener huellas dactilares del sistema comprometido
-
Analizar y procesar comandos entrantes
-
Ejecutar instrucciones arbitrarias en el host afectado
El dominio utilizado fue registrado a finales de octubre de 2025 y se asocia con la dirección IP 172.86.73[.]139, gestionada por RouterHosting LLC (Cloudzy), un proveedor de alojamiento conocido por haber alojado infraestructura utilizada por grupos vinculados a estados-nación en campañas anteriores.
Campaña recurrente y posible atribución
Este no es el primer incidente de este tipo. En noviembre de 2025, la empresa HelixGuard informó sobre un paquete malicioso llamado correctores_ortograficos, que empleaba una técnica similar para descargar y ejecutar un RAT. Las similitudes en el nombre del paquete, la funcionalidad y la cadena de infección sugieren que ambos conjuntos de ataques podrían ser obra del mismo actor de amenazas.
Ecosistema más amplio: ataques en NPM
El hallazgo se produce en paralelo con el descubrimiento de múltiples paquetes NPM maliciosos, diseñados tanto para el robo de datos como para el compromiso de carteras de criptomonedas. Entre ellos destacan:
-
Flockiali, opresc, prndn, oprnm y operni, paquetes que despliegan una pantalla de inicio de sesión falsa con marca Microsoft como parte de campañas de spear-phishing dirigidas a empleados de empresas industriales y energéticas en Francia, Alemania, España, Emiratos Árabes Unidos y Estados Unidos.
-
ansi-universal-UI, que se presenta como una biblioteca de componentes de interfaz, pero en realidad instala un ladrón basado en Python llamado G_Wagon, capaz de exfiltrar credenciales de navegadores, monederos de criptomonedas, credenciales cloud y tokens de Discord a un almacenamiento controlado por los atacantes en Appwrite.
Slopsquatting y el papel de la IA
Aikido también advirtió sobre el creciente riesgo del slopsquatting, una técnica en la que modelos de IA generan nombres de paquetes inexistentes que luego son registrados por actores maliciosos. En un caso destacado, un paquete ficticio llamado
1 | react-codeshift |
fue referenciado por 237 repositorios de GitHub, después de ser inventado por un gran modelo de lenguaje a mediados de octubre de 2025.
Algunos repositorios incluso instruyeron explícitamente a agentes de IA para instalar el paquete, sin verificar su existencia. “Las habilidades son el nuevo código”, explicó Eriksen. “No parecen ejecutables, pero lo son. Los agentes de IA los siguen sin cuestionar si el paquete realmente existe”.
En fin…
Este incidente pone de manifiesto una evolución peligrosa en los ataques a la cadena de suministro, donde los atacantes combinan técnicas de ofuscación, activación diferida, abuso de repositorios oficiales e incluso modelos de IA para distribuir malware. La aparición de RATs ocultos en paquetes aparentemente inocuos refuerza la necesidad de auditorías de dependencias, controles automatizados, verificación de paquetes y una mayor concienciación en la comunidad de desarrolladores.
En un ecosistema cada vez más automatizado y asistido por IA, la confianza ciega en repositorios y recomendaciones automáticas se ha convertido en un riesgo crítico.
Fuente: The Hacker News
