Malware autorreplicante infecta software libre y destruye máquinas iraníes.

Un gusano informático disfrazado de paquete de código abierto amenaza con borrar sistemas en Irán y propagarse globalmente

La cadena de suministro de software se ha convertido en el campo de batalla preferido de los cibercriminales. La última amenaza, bautizada como CanisterWorm, ha exploitado una de las prácticas más comunes en el desarrollo moderno—la reutilización de librerías de código abierto—para propagarse como un virus a través de los canales de desarrollo e implementación continua (CI/CD). Lo más preocupante: su diseño incluye un módulo de destrucción de datos, Kamikaze, que se activa selectivamente en máquinas ubicadas o configuradas para Irán, según ha detectado la firma de ciberseguridad Aikido.

El mecanismo de infección es insidiosamente simple. El atacante publica un paquete malicioso en repositorios públicos como npm. Cualquier desarrollador o sistema de CI/CD que instale ese paquate accidentalmente se convierte en un vector de propagación. Si en ese entorno existe un token de acceso activo a repositorios de código, el malware lo roba, lo usa para infectar los proyectos propios de la víctima y, a su vez, sus downstream users. El ciclo se repite, creando una red de infección en expansión.

«La confianza inherente en el ecosistema de código abierto es su mayor fortaleza y, a la vez, su vulnerabilidad más crítica», señala un analista de amenazas que sigue el rastro del grupo responsible, TeamPCP. Este colectivo, históricamente orientado al robo financiero, ha dado un giro preocupante. La inclusión del wiper Kamikaze sugiere una motivación que va más allá del lucro inmediato. La lógica deactivación del módulo destructivo es-binaria: si la máquina infectada está en Irán (detectado por zona horaria o configuración regional), se activa el borrado masivo. En entornos Kubernetes, despliega un DaemonSet que elimina todos los nodos del clúster. En sistemas sin Kubernetes, ejecuta un comando rm -rf / --no-preserve-root, el más destructivo en sistemas Unix. Fuera de Irán, el malware se limita a instalar su backdoor y seguir propagándose.

Este地理 targeting (geoselección) es una novedad para un grupo cuyo modus operandi siempre fue el saqueo económico. «Podría ser un mensaje ideológico, un intento de provocar o, simple y llanamente, una prueba de concepto de su capacidad para causar estragos físicos», comenta un experto en geopolítica cibernética consultado por este medio. «Lo que está claro es que están llamando la atención de forma deliberada, atacando infraestructuras críticas como las herramientas de seguridad y proyectos de código abierto».

La sombra de este ataque se alarga hasta un incidente previo. La semana pasada, el popular escáner de vulnerabilidades Trivy fue comprometido de forma similar. La cadena de eventos comenzó con un ataque a finales de febrero contra Aqua Security, la empresa madre. Aunque Aqua realizó una rotación de credenciales, el proceso fue incompleto, dejando una fisura que TeamPCP exploitó para secuestrar la cuenta de GitHub que distribuye Trivy. Aqua Security ha confirmado ahora que está llevando a cabo una «purga exhaustiva» de todas las credenciales after este nuevo incidente.

La lección para las industrias—incluidas las de moda y retail, que dependen cada vez más de herramientas digitales y software de código abierto para su diseño, logística y comercio electrónico—es clara: la seguridad debe integralse en cada eslabón de la cadena de desarrollo. No basta con escanear el código propio; es vital verificar la integridad de cada dependencia externa y gestionar con extrema rigidez los tokens de acceso y las credenciales. CanisterWorm no es solo un gusano; es un síntoma de la fragilidad sistémica en el software que impulsa la economía digital, donde un solo paquete malicioso puede detener fábricas, borrar datos de diseño o colapsar operaciones logísticas a escala global. La amenaza ya está en el ecosistema; la pregunta es cuántos sistemas, dentro y fuera de Irán, portan la semilla de su propia destrucción sin saberlo.