Redazione RHC : 18 septiembre 2025 16:26
Investigadores de seguridad han descubierto la vulnerabilidad de más de 180 paquetes npm, infectados con un malware autopropagante diseñado para infectar otros paquetes. La campaña, denominada Shai-Hulud, probablemente comenzó con el ataque al paquete @ctrl/tinycolor, que se descarga más de 2 millones de veces a la semana
El nombre Shai-Hulud proviene de los archivos shai-hulud.yaml utilizados por el malware. Es una referencia a los gusanos de arena gigantes de la película Dune de Frank Herbert. El problema se informó inicialmente al desarrollador Daniel Pereira, quien alertó a la comunidad sobre un ataque a gran escala a la cadena de suministro.
«Justo ahora, mientras lees esto, se está distribuyendo malware dentro de npm», dijo Pereira, instando a todos a no instalar las últimas versiones de @ctrl/tinycolor.
El desarrollador intentó notificar al equipo de seguridad de GitHub a través de canales privados, ya que los atacantes habían atacado a «múltiples repositorios» y la divulgación pública del ataque podría haber creado más riesgos. Sin embargo, contactar con GitHub resultó demasiado difícil, por lo que Pereira reportó públicamente el problema.
Investigadores de Socket y Aikido están investigando el incidente y han descubierto que al menos 187 paquetes se han visto comprometidos. Entre los paquetes afectados, varios están publicados por la cuenta npmjs de la firma de ciberseguridad CrowdStrike.
«Tras descubrir varios paquetes maliciosos en el registro público de npm (un repositorio externo de código abierto), los eliminamos rápidamente y actualizamos nuestras claves de forma preventiva», declararon representantes de CrowdStrike.«Falcon no utiliza estos paquetes, nuestra plataforma no se ve afectada y los clientes siguen protegidos. Estamos trabajando con npm y realizando un análisis exhaustivo. investigación.»
ReversingLabs, a su vez, describe este incidente como «el primero de su tipo, un gusano autorreplicante que infecta paquetes de npm y roba tokens de la nube». Los investigadores creen que el ataque se originó en el paquete rxnt-authentication, una versión maliciosa del cual se publicó en npm el 14 de septiembre de 2025.
Según ReversingLabs, la persona responsable de techsupportrxnt puede ser Considerado el paciente cero. La clave para descubrir el origen del ataque reside en cómo se vulneró la cuenta techsupportrxnt. Podría haber comenzado con un correo electrónico de phishing o la explotación de una acción de GitHub vulnerable.
Las versiones comprometidas de los paquetes cuentan con un mecanismo de autopropagación de malware que ataca a otros paquetes de los mantenedores afectados. Según los investigadores de Socket, el malware descargó cada paquete del mantenedor, modificó su package.json, inyectó el script bundle.js, reempaquetó el archivo y lo republicó, asegurando así la troyanización automática de los paquetes posteriores.
El script bundle.js utiliza TruffleHog, un escáner de secretos legítimos diseñado para desarrolladores y profesionales de la seguridad. TruffleHog ayuda a detectar información confidencial filtrada accidentalmente, como claves API, contraseñas y tokens, de repositorios y otras fuentes. El script malicioso abusó de la herramienta para encontrar tokens y credenciales en la nube.
RedazioneEn uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
Desde las vulnerabilidades de WEP hasta los avances de WPA3 , la seguridad de las redes Wi-Fi ha evolucionado enormemente. Hoy en día, las redes autoprotegidas representan la nueva frontera: sistemas...
