Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Shai-Hulud 2.0: masiva filtración de 400.000 secretos en NPM y GitHub
Noticias

Shai-Hulud 2.0: masiva filtración de 400.000 secretos en NPM y GitHub

por Dragora
Escrito por Dragora

El ecosistema de JavaScript, NPM y GitHub vuelve a enfrentar una grave amenaza tras la segunda ofensiva del malware Shai-Hulud, una campaña masiva que dejó al descubierto alrededor de 400.000 secretos en bruto y afectó a miles de desarrolladores, repositorios y plataformas CI/CD. Este ataque representa uno de los incidentes de supply chain más significativos del año, evidenciando nuevamente la fragilidad de los sistemas de distribución de paquetes y automatización de desarrollo.

De acuerdo con los investigadores de Wiz, la filtración incluye credenciales altamente sensibles como tokens NPM, accesos a GitHub, claves de nube, metadatos de CI/CD y otros secretos que pueden habilitar nuevos ataques en cadena durante las próximas semanas.

Una filtración masiva: más de 400.000 secretos expuestos

Durante el segundo ataque, Shai-Hulud infectó cientos de paquetes en el registro NPM y publicó automáticamente los datos robados en 30.000 repositorios de GitHub. Aunque herramientas de validación como TruffleHog confirmaron que solo unos 10.000 secretos eran totalmente válidos, la cifra real de credenciales activas podría ser mucho mayor.

Wiz confirmó que más del 60% de los tokens NPM filtrados seguían siendo válidos al 1 de diciembre, lo que representa un riesgo directo de:

  • Publicación maliciosa de paquetes

  • Suplantación de identidades de mantenedores

  • Inyección de dependencias trojanizadas

  • Compromiso ampliado de pipelines de desarrollo

Este nivel de exposición demuestra que, aunque muchos secretos se consideren “ruido”, los que sí funcionan pueden habilitar ataques devastadores contra organizaciones y desarrolladores.

Ritmo de nuevas cuentas de GitHub que publican secretos en nuevos repositoriosRitmo de nuevas cuentas de GitHub que publican secretos en nuevos repositorios
Fuente: Wiz

Cómo opera Shai-Hulud: un malware autopropagante que evoluciona rápido

La primera aparición de Shai-Hulud ocurrió en septiembre, cuando los atacantes comprometieron 187 paquetes NPM mediante un mecanismo autopropagante. La carga útil utilizaba TruffleHog para detectar tokens, inyectar scripts maliciosos y republicar versiones infectadas sin intervención humana.

En su segunda versión, Shai-Hulud 2.0, el ataque escaló significativamente:

  • Más de 800 paquetes NPM afectados (incluyendo todas las versiones infectadas)

  • Un mecanismo destructivo añadido que borraba el directorio principal de la víctima si se cumplían determinadas condiciones

  • Distribución masiva de secretos robados en 30.000 repositorios públicos

Este grado de automatización y agresividad confirma que el malware ya no solo busca propagarse, sino también generar daño directo y maximizar su alcance.

Qué secretos fueron expuestos: un mapa del desastre

El análisis realizado por los especialistas de Wiz reveló que los repositorios infectados contenían archivos generados automáticamente por la carga maliciosa. Estos archivos incluían información crítica como:

1. contents.json (70% de los repositorios)

Contenía:

  • Nombres de usuario

  • Tokens de GitHub

  • Instantáneas de archivos locales

2. truffleSecrets.json (50% de los repositorios)

Incluía resultados completos del escaneo de TruffleHog, incluso secretos no verificados.

3. environment.json (80% de los repositorios)

Uno de los más preocupantes, al incluir:

  • Configuración del sistema operativo

  • Metadatos CI/CD

  • Datos del paquete NPM

  • Credenciales de GitHub

4. actionsSecrets.json (400 repositorios)

Contenía secrets de GitHub Actions, uno de los activos más sensibles dentro de pipelines modernos.

Aunque muchos de estos secretos pueden haber caducado, Wiz confirma que varios cientos siguen plenamente operativos.

De dónde provienen las infecciones: Linux, contenedores y CI/CD

El análisis de más de 24.000 archivos environment.json muestra que:

  • 87% de los sistemas infectados son Linux, el entorno predominante en CI/CD.

  • 76% de las infecciones ocurrieron en contenedores, un vector típico en pipelines automatizados.

  • Las plataformas CI/CD más afectadas fueron:

    • GitHub Actions (principal afectado)

    • Jenkins

    • GitLab CI

    • AWS CodeBuild

Esto confirma que Shai-Hulud apunta específicamente a los entornos más utilizados en flujos DevOps y despliegues automatizados.

Los paquetes más afectados: dos responsables concentraron el 60% de las infecciones

Entre la lista de paquetes infectados, Wiz identificó dos que tuvieron el mayor impacto al estar ampliamente utilizados:

  1. @postman/tú[email protected]

  2. @asyncapi/[email protected]

Estos dos paquetes representaron más del 60% de toda la propagación del malware.

La investigación concluye que, si estos paquetes se hubieran detectado y retirado rápidamente, el impacto global del ataque habría sido considerablemente menor.

Un patrón claro: 99% de las infecciones provienen de setup_bun.js

Los expertos señalan que el 99% de los casos se originaron desde un evento “preinstall” que ejecutaba el archivo malicioso setup_bun.js, lo cual confirma la precisión quirúrgica del ataque en la etapa de instalación del paquete.

¿Qué podemos esperar? Nuevas oleadas de ataques

Wiz advierte que los operadores detrás de Shai-Hulud no han terminado.
Con cientos de secretos válidos en su poder y un sistema automatizado altamente eficaz, es probable que:

  • Surjan nuevas variantes del malware

  • Los atacantes intenten comprometer más paquetes NPM

  • Se produzca un aumento de ataques supply chain aprovechando credenciales robadas

El ataque Shai-Hulud 2.0 marca un precedente peligroso para la seguridad del ecosistema JavaScript y subraya la urgente necesidad de fortalecer prácticas de gestión de secretos, integridad de paquetes y monitoreo de pipelines.

Fuente: Bleeping Computer

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!