Un ataque mostró que las firmas válidas no siempre prueban que una publicación sea segura.
El 19 de mayo de 2026, el ecosistema npm sufrió una campaña que cuestiona uno de sus mecanismos de confianza. 633 versiones maliciosas pasaron las verificaciones de Sigstore porque los atacantes publicaron paquetes con certificados legítimos emitidos desde una cuenta comprometida.
La paradoja es relevante: Sigstore no se comportó de forma errónea. Confirmó que las compilaciones procedían de integración continua, validó los certificados y registró la operación en su libro de transparencia. Lo que no podía determinar era si esas credenciales tenían autorización del mantenedor real.
La campaña, atribuida por varios equipos a un actor económico conocido como TeamPCP, arrancó con paquetes inactivos durante años, entre ellos jest-canvas-mock y size-sensor. Después se extendió por @antv y por otros paquetes populares. Socket situó la oleada en 639 versiones de 323 paquetes y, en toda la operación, rastreó 1.055 versiones maliciosas en npm, PyPI y Composer.
El incidente llegó tras otro aviso cercano: la extensión Nx Console de Visual Studio Code publicó la versión 18.95.0 con credenciales robadas. Aunque estuvo disponible menos de 40 minutos, registró unas 6.000 activaciones, sobre todo por actualizaciones automáticas.
Las cargas buscaban tokens de GitHub y npm, claves de AWS, credenciales de Kubernetes, datos de 1Password y configuración de Claude Code. Para las empresas, la procedencia técnica debe combinarse con aprobaciones humanas, límites de permisos y rotación de secretos.
Basado en: Louis Columbus, VentureBeat