tradingkey.logo
tradingkey.logo
Buscar

El gusano Mini Shai-Hulud secuestra 323 paquetes npm en menos de 30 minutos a través de una sola cuenta robada

Cryptopolitan20 de may de 2026 3:58
facebooktwitterlinkedin
Ver todos los comentarios0

El 19 de mayo, el gusano Mini Shai-Hulud comprometió una cuenta de mantenedor de npm y distribuyó 639 versiones maliciosas en 323 paquetes en menos de 30 minutos.

La cuenta comprometida, “atool” (i@hust.cc), publica toda la pila de visualización de datos @antv de Alibaba junto con bibliotecas independientes utilizadas en paneles de control de criptomonedas, interfaces DeFi y aplicaciones fintech.

Los objetivos con mayor tráfico son: size-sensor con 4,2 millones de descargas semanales, echarts-for-react con 1,1 millones, @antv/scale con 2,2 millones y timeago.js con 1,15 millones.

Los proyectos que utilizaban rangos de versión semántica como ^3.0.6 para echarts-for-react se resolvían automáticamente a la versión maliciosa 3.2.7 en la siguiente instalación limpia. El responsable del proyecto cerró las advertencias de seguridad de GitHub en menos de una hora, ocultándolas en incidencias cerradas.

Qué roba la carga útil y cómo persiste

El malware recopila más de 20 tipos dedent: claves de AWS a través de metadatos de EC2 y ECS, tokens de Google Cloud y Azure, tokens de GitHub y npm, claves SSH, cuentas de servicio de Kubernetes, secretos de HashiCorp Vault, claves de API de Stripe, cadenas de conexión de bases de datos y bóvedas de contraseñas locales de 1Password y Bitwarden, según Socket.dev.

La exfiltración se realiza a través de dos canales. Lasdentrobadas se cifran con AES-256-GCM y se envían a un servidor de comando y control.

Como plan B, el gusano utiliza tokens de GitHub comprometidos para crear repositorios públicos con nombres relacionados con Dune, como sardaukar-melange-742 o fremen-sandworm-315, y luego sube los datos robados como archivos. StepSecurity informó que más de 2500 repositorios de GitHub ya contienen indicadores vinculados a la campaña.

Además, el gusano utiliza cifrado en los datos robados en tracde OpenTelemetry que se transfieren a través de HTTPS. En máquinas basadas en Linux, configura un servicio de usuario systemd que es capaz de obtener instrucciones de GitHub incluso después de que se haya eliminado el paquete.

El gusano modifica los archivos de configuración .vscode y .claude para asegurar su reactivación en entornos de desarrollo.

La campaña sigue creciendo

Esta es la tercera oleada. Como Cryptopolitan informó en enero, la variante original de Shai-Hulud afectó a los paquetes npm de Trust Wallet y causó pérdidas de 8,5 millones de dólares. La segunda oleada afectó a Mistral AI, TanStack, UiPath y Guardrails AI el 11 de mayo.

Socket ha podidodentun total de 1.055 versiones comprometidas en 502 paquetes distintos a través de npm, PyPI y Composer.

Según investigadores de Datadog, el grupo de ciberdelincuentes responsable de la campaña, TeamPCP, ha promocionado sus herramientas en foros de hackers clandestinos. Han surgido versiones imitadoras que utilizan servidores de comando y control diferentes, lo que dificulta su atribución.

El director ejecutivo de SlowMist, 23pds, afirmó que cualquier entorno que haya instalado versiones afectadas debe considerarse totalmente comprometido.

Algunas de las medidas recomendadas incluyen revocar todos los tokens de acceso, rotar lasdentpara AWS, GitHub, npm y los proveedores de la nube, implementar la autenticación multifactor para la publicación de cuentas y revisar cualquier actividad sospechosa dentro de los repositorios.

No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.

Descargo de responsabilidad: La información proporcionada en este sitio web es solo para fines educativos e informativos, y no debe considerarse como asesoramiento financiero o de inversión.

Comentarios (0)

Haga clic en el botón $, introduzca el símbolo y seleccione si desea vincular una acción, un ETF o otro valor.

0/500
Normas para comentar
Cargando...

Artículos Recomendados

tradingkey.logo
* Las referencias, los análisis y las estrategias de trading son proporcionados por un proveedor externo, Trading Central, y el punto de vista se basa en la evaluación y el juicio independientes del analista, sin considerar los objetivos de inversión ni la situación financiera de los inversores.
Advertencia de Riesgo: Nuestro sitio web y aplicación móvil solo proporcionan información general sobre ciertos productos de inversión. Finsights no proporciona, y la provisión de dicha información no debe interpretarse como que Finsights proporciona, asesoramiento financiero o recomendación para cualquier producto de inversión.
Los productos de inversión están sujetos a riesgos de inversión significativos, incluida la posible pérdida del monto principal invertido y pueden no ser adecuados para todos. El rendimiento pasado de los productos de inversión no es indicativo de su rendimiento futuro.
Finsights puede permitir que anunciantes o afiliados de terceros coloquen o entreguen anuncios en nuestro sitio web o aplicación móvil o en cualquier parte de los mismos y puede ser compensado por ellos en función de su interacción con los anuncios.
© Derechos de autor: FINSIGHTS MEDIA PTE. LTD. Todos los derechos reservados.