Shai-Hulud: el malware de la cadena de suministro que se está extendiendo por las canalizaciones de desarrollo y hacia monederos de cripto Una campaña de malware sigilosa denominada “Shai-Hulud” está explotando las herramientas automatizadas en las que los desarrolladores confían para construir y distribuir software, y su alcance es alarmante. Los investigadores han vinculado aproximadamente 320 entradas maliciosas en los repositorios del Administrador de Paquetes de Node (NPM) y PyPI a esta campaña: paquetes que en conjunto suman más de 518 millones de descargas mensuales. Para proyectos de cripto y cualquier equipo que dependa de estos ecosistemas, las implicaciones son claras: el acceso de los atacantes a las herramientas de desarrollo puede convertirse rápidamente en el robo de credenciales en la nube y monederos de cripto. Cómo se propaga la infección Shai-Hulud no ataca directamente a los usuarios finales. En su lugar, compromete paquetes confiables y canalizaciones de compilación para que el malware se incorpore automáticamente a proyectos aguas abajo durante los procesos normales de desarrollo y lanzamiento. Debido a que el código malicioso a menudo proviene de registros de paquetes legítimos, lleva firmas válidas y pasa controles rutinarios, puede integrarse sin llamar la atención, lo que dificulta su detección hasta que se causa daño. Por qué importa “El software moderno se construye ejecutando código de otras personas”, dijo Jeff Williams, CTO de Contrast Security, a Decrypt. “Los desarrolladores no simplemente ‘descargan’ bibliotecas. Las instalan, las usan para construir, probar, implementar y finalmente ejecutarlas. Y si ejecutas una biblioteca maliciosa, puede hacer casi cualquier cosa que tú puedas hacer”. Advertió que los avances en IA empeoran el problema, comparando el efecto con “convertir a una computadora en un doble agente”. Incidentes reales y consecuencias - A principios de mayo, Microsoft Threat Intelligence reveló que los atacantes habían insertado código malicioso en un paquete de Mistral AI en PyPI. El malware también descargaba un archivo diseñado para parecerse a la biblioteca Transformers de Hugging Face, con el fin de integrarse en entornos de ML. Mistral posteriormente indicó que un dispositivo de desarrollador afectado estaba involucrado, pero no encontró evidencia de que su infraestructura propia hubiera sido comprometida. - Dos días después, OpenAI confirmó que dos dispositivos de empleados fueron infectados por malware vinculado a Shai-Hulud, lo que brevemente dio a los atacantes acceso a un número limitado de repositorios internos de código. La empresa informó que no había evidencia de que se hubieran comprometido datos de clientes, sistemas de producción o propiedad intelectual. - La campaña atrajo mayor atención tras un ataque el 11 de mayo contra TanStack, un marco de JavaScript de código abierto ampliamente utilizado que impulsa muchas aplicaciones web y en la nube. Alcance y actores Los investigadores rastrearon variantes anteriores de Shai-Hulud hasta septiembre de 2025 y las vincularon a ciberdelincuentes que operan bajo el nombre TeamPCP. El grupo criminal luego afirmó haber robado aproximadamente 4,000 repositorios privados de GitHub y ofrecer los datos a la venta; GitHub dice que está investigando accesos no autorizados a repositorios internos. Mientras tanto, la empresa de seguridad OX Security informó que ya circulan paquetes imitadores que roban credenciales de monederos cripto y nube, claves SSH y variables de entorno, y algunas variantes también intentan reclutar máquinas infectadas en botnets DDoS. Notas técnicas y pistas de atribución OX Security señaló que algunas nuevas muestras son casi idénticas a una fuente filtrada de Shai-Hulud sin ofuscación, lo que sugiere que diferentes actores están reempaquetando el código en lugar de desarrollar nuevas variantes. Este tipo de reutilización acelera la propagación: la compromisión de un paquete pequeño u oscuro proporciona a un atacante un conducto hacia cada proyecto aguas abajo que lo confíe, permitiendo robo de tokens, publicación maliciosa y repetidos ciclos de envenenamiento. Por qué los proyectos cripto deben prestar atención Para equipos de blockchain y cripto, la superficie de ataque incluye máquinas de desarrollador, CI/CD, registros de paquetes y sistemas de publicación automatizada: áreas que los atacantes están aumentando su enfoque porque ofrecen alto apalancamiento. Cuando las credenciales del monedero, variables de entorno o claves de API en la nube se exponen mediante una dependencia comprometida o caché de compilación, los atacantes pueden pasar desde entornos de desarrollo hacia sistemas productivos y activos financieros. Defensas prácticas Los expertos enfatizan que la cadena de suministro de software ya no es una simple cadena, sino una red de propagación, y las defensas deben reflejarlo. Las mitigaciones recomendadas incluyen: - Controles más estrictos sobre dependencias y fijación estricta de versiones. - Protecciones más sólidas para publicaciones y lanzamientos firmados y verificados. - Credenciales con privilegios mínimos para CI/CD y rotación regular de tokens. - Entornos de compilación aislados y cachés de compilación inmutables. - Escaneo automatizado para detectar manipulación de dependencias y fuentes de inteligencia sobre amenazas para detectar paquetes maliciosos temprano. “Shai-Hulud es un recordatorio de que la superficie de ataque se extiende mucho más allá de las capas tradicionales de aplicaciones y llega hasta los paquetes de código abierto que impulsan los flujos modernos de desarrollo e implementación”, dijo Joris Van De Vis, Director de Investigación de Seguridad en SecurityBridge, a Decrypt. Para los creadores cripto, eso significa proteger la canalización del desarrollador es tan importante como asegurar contratos inteligentes y monederos—porque una compilación envenenada puede ser la vía más rápida hacia fondos comprometidos. Conclusión: los atacantes están armando infraestructura confiable. Los proyectos que dependen de paquetes públicos, CI/CD automatizado y cachés compartidas deben adoptar controles más estrictos y detección rápida para mantener seguros el código y el cripto.
El malware Shai-Hulud infecta paquetes NPM/PyPI, amenaza monederos de criptomonedas
ChainGPTCompartir
Resumen
El malware Shai-Hulud ha infectado más de 320 paquetes de NPM y PyPI, afectando más de 518 millones de descargas mensuales. La amenaza apunta a monederos de criptomonedas y credenciales en la nube, con brechas recientes en Mistral AI y OpenAI. Los investigadores vinculan el malware a TeamPCP, que anteriormente robó 4,000 repositorios de GitHub. Las noticias en cadena resaltan la urgencia de implementar controles más estrictos en las dependencias y lanzamientos firmados. Las noticias sobre IA y criptomonedas muestran riesgos crecientes en los ecosistemas de código abierto. Los expertos recomiendan entornos de compilación aislados para evitar una mayor propagación.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.