Por Mid 
Gusano “Shai-Hulud” compromete cientos de paquetes npm y roba credenciales
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Media
Conclusiones clave
- Una campaña de ataque de cadena de suministro en npm ha comprometido más de 40 paquetes inicialmente, y se ha extendido a cientos.
- El malware “Shai-Hulud” se propaga automáticamente, robando tokens y secretos de desarrolladores.
- La electrónica de seguridad y las prácticas de CI/CD están en riesgo debido a esta infiltración.
- Los desarrolladores que instalaron las versiones comprometidas podrían haber expuesto sus secretos a futuros ataques.
- Los workflows maliciosos pueden persistir en los repositorios, reactivando la exfiltración de datos incluso si el host original ya no está comprometido.
Índice
- Impacto de Shai-Hulud en el ecosistema de npm
- Comportamiento del malware
- Registro de publicaciones maliciosas
- Tecnologías afectadas
Impacto de Shai-Hulud en el ecosistema de npm
Una campaña de ataque de cadena de suministro en npm comenzó el 15 de septiembre, afectando inicialmente a más de 40 paquetes, entre ellos el popular @ctrl/tinycolor. En pocas horas, la situación se deterioró, afectando a cientos de otros. Este malware, conocido como “Shai-Hulud”, se propaga automáticamente entre los paquetes de los mantenedores que han sido comprometidos, con el objetivo de robar tokens y secretos de desarrolladores, así como de sistemas de CI/CD.
Comportamiento del malware
La comunidad de ciberseguridad ha emitido una advertencia sobre una nueva serie de intrusiones en el registro npm, caracterizadas por el robo de credenciales y un comportamiento de autopropagación similar al de un gusano. La investigación se inició el 15 de septiembre cuando se identificaron versiones comprometidas del popular paquete @ctrl/tinycolor, el cual cuenta con más de dos millones de descargas semanales. Rápidamente, otros paquetes de diversos mantenedores se vieron afectados, lo que llevó a que la campaña se expandiera hasta abarcar cientos de publicaciones maliciosas, incluidas bibliotecas de terceros asociadas a la cuenta crowdstrike-publisher.
La empresa ha asegurado que sus paquetes públicos afectados no comprometen su producto Falcon y que han rotado las claves en los registros públicos. Lo que distingue a “Shai-Hulud” es su capacidad de replicarse: una vez infectado el entorno de un mantenedor y obtenido un token válido de npm, el malware automatiza la creación de nuevas versiones de todos los paquetes bajo su control.
Registro de publicaciones maliciosas
Los registros disponibles indican que las publicaciones maliciosas ocurrieron entre el 14 y el 15 de septiembre (UTC) y que la rápida expansión tuvo lugar el día 16, con más de un centenar de paquetes afectados y varios cientos de versiones comprometidas. Investigadores independientes han documentado indicadores como el hash del bundle.js, los nombres de archivo y ramas (shai-hulud), y búsquedas en GitHub que devuelven repositorios denominados “Shai-Hulud” o “*-migration”.
Tecnologías afectadas
Aunque los primeros paquetes más notorios pertenecen a los ecosistemas de Angular/React y a la comunidad de NativeScript, el posible impacto se extiende a todas las tecnologías: cualquier desarrollador o agente de CI que haya instalado las versiones comprometidas durante la ventana de exposición puede haber expuesto secretos. Además, los workflows que se han agregado persisten en los repositorios, pudiendo reactivar la exfiltración en ejecuciones futuras, incluso si el host original ya no está comprometido.