Shy Hulud, que está arrasando en el ecosistema de JavaScript... se está expandiendo de forma independiente a través de npm.

2025-12-23 15:24:55

El código malicioso “sandworm(Shai Hulud)” dirigido al ecosistema de desarrollo de JavaScript sigue evolucionando, y se ha confirmado que el nivel de los ataques a la cadena de suministro de software ha aumentado aún más. El análisis más reciente muestra que este código malicioso ha superado el nivel de infiltrar paquetes de software individuales, siendo capaz de convertir a los desarrolladores en portadores inconscientes y en propagadores continuos de la infección, poseyendo un sistema de difusión automática.

Según un informe publicado por la empresa de seguridad Expel, las recientes variantes de los gusanos de arena tienen la capacidad de infectar automáticamente el entorno de desarrollo y redistribuirse a través de los registros npm que gestionan. Este código malicioso ejecuta un paquete npm infectado durante la fase de instalación, llevando a cabo la infección en dos pasos. Primero, si el entorno objetivo no tiene instalado el tiempo de ejecución de JavaScript “Bun”, se instalará automáticamente; luego, mediante una carga útil complejamente ofuscada, inducirá en segundo plano el robo de credenciales, la filtración de datos y una reinfección.

Esta variante es especialmente notable por su ingeniosa forma de recopilar credenciales. Utiliza el acceso directo a los sistemas de gestión de secretos de las principales infraestructuras en la nube, como AWS Secrets Manager, Microsoft Azure Key Vault y Google Cloud Secret Manager, para extraer datos sensibles de manera adicional. Se ha confirmado que también recopila de manera exhaustiva los tokens de publicación de NPM, la información de autenticación de GitHub e incluso las claves de la nube en el propio sistema local. La herramienta utilizada en este proceso es TruffleHog, una herramienta que puede buscar automáticamente información secreta codificada en el código fuente, archivos de configuración, registros de Git, entre otros.

La táctica más típica de los gusanos de arena es el abuso de la infraestructura de GitHub. A diferencia de la forma en que solía conectarse el código malicioso al control de comandos (C2), este código malicioso sube la información robada a un repositorio público y registra los dispositivos infectados como ejecutores autos hospedados de GitHub Actions. Esto permite un acceso remoto continuo, donde el atacante utiliza la cuenta de un desarrollador infectado como arma para inyectar código malicioso en otros paquetes y ampliar el alcance de la infección al volver a registrar automáticamente las versiones modificadas en npm.

El informe indica que, hasta ahora, se estima que más de 25,000 repositorios están infectados, y los paquetes afectados son cientos. Entre ellos se encuentran herramientas populares que también son ampliamente utilizadas por la comunidad de código abierto.

Expel a través de este caso advierte que la “capa de confianza” de la seguridad de la cadena de suministro de software ya no es una zona segura. Aunque los gusanos de arena atacaron el ecosistema de JavaScript, otros lenguajes con una base de confianza similar, como Python(PyPI), Ruby(RubyGems) y PHP(Composer), también podrían estar expuestos a ataques similares. La aparición de código malicioso de difusión autónoma dirigido al ecosistema de herramientas de desarrollo podría provocar amenazas más persistentes y amplias en el futuro, lo que requiere vigilancia.

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.