Redazione RHC : 18 septiembre 2025 16:26
Investigadores de seguridad han descubierto la vulnerabilidad de más de 180 paquetes npm, infectados con un malware autopropagante diseñado para infectar otros paquetes. La campaña, denominada Shai-Hulud, probablemente comenzó con el ataque al paquete @ctrl/tinycolor, que se descarga más de 2 millones de veces a la semana
El nombre Shai-Hulud proviene de los archivos shai-hulud.yaml utilizados por el malware. Es una referencia a los gusanos de arena gigantes de la película Dune de Frank Herbert. El problema se informó inicialmente al desarrollador Daniel Pereira, quien alertó a la comunidad sobre un ataque a gran escala a la cadena de suministro.
«Justo ahora, mientras lees esto, se está distribuyendo malware dentro de npm», dijo Pereira, instando a todos a no instalar las últimas versiones de @ctrl/tinycolor.
El desarrollador intentó notificar al equipo de seguridad de GitHub a través de canales privados, ya que los atacantes habían atacado a «múltiples repositorios» y la divulgación pública del ataque podría haber creado más riesgos. Sin embargo, contactar con GitHub resultó demasiado difícil, por lo que Pereira reportó públicamente el problema.
Investigadores de Socket y Aikido están investigando el incidente y han descubierto que al menos 187 paquetes se han visto comprometidos. Entre los paquetes afectados, varios están publicados por la cuenta npmjs de la firma de ciberseguridad CrowdStrike.
«Tras descubrir varios paquetes maliciosos en el registro público de npm (un repositorio externo de código abierto), los eliminamos rápidamente y actualizamos nuestras claves de forma preventiva», declararon representantes de CrowdStrike.«Falcon no utiliza estos paquetes, nuestra plataforma no se ve afectada y los clientes siguen protegidos. Estamos trabajando con npm y realizando un análisis exhaustivo. investigación.»
ReversingLabs, a su vez, describe este incidente como «el primero de su tipo, un gusano autorreplicante que infecta paquetes de npm y roba tokens de la nube». Los investigadores creen que el ataque se originó en el paquete rxnt-authentication, una versión maliciosa del cual se publicó en npm el 14 de septiembre de 2025.
Según ReversingLabs, la persona responsable de techsupportrxnt puede ser Considerado el paciente cero. La clave para descubrir el origen del ataque reside en cómo se vulneró la cuenta techsupportrxnt. Podría haber comenzado con un correo electrónico de phishing o la explotación de una acción de GitHub vulnerable.
Las versiones comprometidas de los paquetes cuentan con un mecanismo de autopropagación de malware que ataca a otros paquetes de los mantenedores afectados. Según los investigadores de Socket, el malware descargó cada paquete del mantenedor, modificó su package.json, inyectó el script bundle.js, reempaquetó el archivo y lo republicó, asegurando así la troyanización automática de los paquetes posteriores.
El script bundle.js utiliza TruffleHog, un escáner de secretos legítimos diseñado para desarrolladores y profesionales de la seguridad. TruffleHog ayuda a detectar información confidencial filtrada accidentalmente, como claves API, contraseñas y tokens, de repositorios y otras fuentes. El script malicioso abusó de la herramienta para encontrar tokens y credenciales en la nube.
RedazioneLa Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...
