La comunidad de desarrolladores enfrenta una de las amenazas más peligrosas de los últimos años. Una campaña masiva de ataque a la cadena de suministro, bautizada como Shai-Hulud, ha logrado comprometer cientos de paquetes en los repositorios npm y PyPI, afectando a proyectos reconocidos mundialmente como TanStack, Mistral AI, Bitwarden CLI y SAP. Lo que hace a este ataque particularmente alarmante es su capacidad para evadir los mecanismos de seguridad tradicionales mediante el uso de tokens OIDC legítimos y firmas digitales válidas, otorgando a los paquetes maliciosos una apariencia de total autenticidad.
El ataque demuestra un conocimiento técnico excepcional de los sistemas de CI/CD (Integración y Despliegue Continuo). Los atacantes explotaron tres vulnerabilidades críticas en GitHub Actions: configuraciones inseguras de workflows pull_request_target que permitieron ejecutar código malicioso en repositorios principales, técnicas de envenenamiento de caché para inyectar dependencias comprometidas, y el robo de tokens OIDC directamente desde la memoria de los runners. Esta última táctica permitió publicar versiones maliciosas con certificación SLSA, haciendo que los sistemas automatizados de seguridad consideraran los paquetes como completamente legítimos.
El objetivo principal de Shai-Hulud es el robo masivo de credenciales sensibles. El malware busca exhaustivamente en los entornos infectados para extraer tokens de GitHub Actions, credenciales de npm, secretos de AWS, configuraciones de Kubernetes, y datos de herramientas de IA como Claude Code. Para evadir detección, utiliza la red descentralizada de Session Messenger (Oxen/Lokinet), disfrazando el tráfico de exfiltración como comunicación cifrada legítima. Sorprendentemente, el malware incluye código de sabotaje selectivo que en entornos vinculados a Israel o Irán puede ejecutar comandos destructivos de borrado completo del sistema.
Las cifras del impacto son alarmantes: más de 160 paquetes comprometidos en npm según Endor Labs, y hasta 416 artefactos maliciosos entre npm y PyPI según Socket. TanStack reporta 42 paquetes afectados con 84 versiones maliciosas. Los expertos recomiendan acciones inmediatas: auditar archivos de bloqueo de dependencias, rotar todas las credenciales potencialmente expuestas, limpiar configuraciones persistentes en IDEs, utilizar instalaciones estrictas basadas en lockfiles, y bloquear indicadores de compromiso publicados por fuentes verificadas de seguridad.
Artículos relacionados de LaRebelión:
- Mini Shai-Hulud Gusano Ataca Paquetes Clave IA
- AI Repositories Under Siege by Malware Attacks
- Malware Snow Teams y Email Roban Active Directory
- Axios NPM Library Hacked Trojan Infiltrates Internet
- Malware Autopropagable Ataca Software de Codigo Abierto
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario