Esta semana dediqué tiempo a buscar paquetes npm infectados y a traducir esa investigación en una herramienta práctica para auditar proyectos Node.js. En esencia, package-lock.json contiene una clave packages que actúa como un mapa de todas las dependencias instaladas, tanto las directas como las de segundo nivel, y esa estructura permite detectar coincidencias con listas públicas de paquetes comprometidos.

La idea del escáner es sencilla: analizar la clave packages del archivo package-lock.json, recorrer cada entrada y comparar el nombre y la versión con una lista conocida de paquetes infectados. Si la versión coincide con una de las versiones afectadas se marca como infectado y debe eliminarse inmediatamente; si el paquete aparece en la lista pero la versión no coincide se marca como advertencia, aunque por seguridad recomendamos también eliminar o actualizar el paquete. Este enfoque evita instalar paquetes o ejecutar agentes IA sin comprobar primero que no haya riesgos.

En proyectos Node.js se puede automatizar este chequeo con un script que lea package-lock.json, parsee el objeto .packages y genere un informe con tres campos principales: total de paquetes inspeccionados, advertencias y paquetes infectados. Para los detectados como infectados es imprescindible eliminar la dependencia y rotar cualquier credencial o secreto que pudiera haberse almacenado localmente. Si usas yarn o pnpm deberás adaptar la lógica porque sus lockfiles tienen otra estructura.

También existe una versión web del escáner shai-hulud que permite subir un package-lock.json y obtener el mismo análisis en el navegador, una opción útil para revisiones rápidas sin ejecutar código localmente. Tras las comprobaciones de esta semana no encontramos amenazas activas, lo que demuestra que las listas públicas son útiles y que una comunidad vigilante reduce el riesgo.

En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en seguridad y en soluciones avanzadas. Si necesitas apoyo para integrar escaneos automáticos, gestionar agentes IA o proteger tu cadena de dependencias, nuestros equipos de ciberseguridad y desarrollo pueden ayudarte. Descubre nuestros servicios de ciberseguridad y pentesting en servicios de ciberseguridad y explora nuestras soluciones de inteligencia artificial y agentes IA para empresas en inteligencia artificial y agentes IA.

Nuestros servicios abarcan aplicaciones a medida, software a medida, ia para empresas, servicios cloud aws y azure, servicios inteligencia de negocio y power bi, además de estrategias de seguridad para proteger pipelines de desarrollo y despliegue. Implementar auditorías regulares de dependencias, checks en CI y escáneres como shai-hulud forma parte de las mejores prácticas que recomendamos para minimizar la exposición de secretos y vulnerabilidades.

Si quieres que revisemos tu repositorio, realicemos un pentesting o despleguemos agentes IA controlados que automatizan detección y respuesta, en Q2BSTUDIO podemos diseñar una solución a medida que combine desarrollo seguro, cloud y business intelligence para tu empresa. Mantente protegido y proactivo: la vigilancia continua y la colaboración en la comunidad open source son claves para un ecosistema más seguro.