Una reciente campaña de ataque a la cadena de suministro en npm, iniciada el 15 de septiembre, ha comprometido cientos de paquetes, propagando un malware denominado "Shai-Hulud". Este gusano se autopropaga entre los paquetes de los mantenedores comprometidos con el objetivo de robar tokens y secretos de desarrolladores, así como de sistemas CI/CD.
La particularidad de "Shai-Hulud" reside en su capacidad de replicación. Una vez que el entorno de un mantenedor se ve infectado y el malware obtiene un token válido de npm, automatiza la creación de nuevas versiones de todos los paquetes que ese mantenedor controla. Esto permite una rápida diseminación del malware a través de la plataforma npm.
Los primeros paquetes afectados pertenecían al ecosistema Angular/React y a la comunidad NativeScript, pero el impacto potencial es mucho mayor. Cualquier desarrollador o agente de CI que haya instalado las versiones maliciosas durante el periodo de exposición podría haber filtrado secretos. Además, los workflows maliciosos añadidos persisten en los repositorios y podrían reactivar la exfiltración en ejecuciones futuras, incluso si el host original ya no está comprometido.
La comunidad de seguridad está trabajando para mitigar el impacto de este ataque y se recomienda a los desarrolladores revisar sus dependencias en npm y buscar posibles signos de compromiso.
Artículos relacionados de LaRebelión:
- Robo de Ethereum Paquetes NPM Maliciosos Detectados
- Horror Ocular Gusano Invade Ojo de Hombre y Doctores Aspiran su Gelatina Ocular Caso Medico Im...
- OSS Rebuild El Nuevo Proyecto de Google Para Blindar la Cadena de Suministro de Paquetes Open Source
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario