Shai-Hulud: el ataque de cadena de suministro auto propagante que afecta paquetes NPM

Publicado hace 8 meses 19-09-2025

“Shai-Hulud” es el nombre que se le dio al ataque de cadena de suministro que, desde el 14 de septiembre del 2025, está afectando activamente a cientos de paquetes del ecosistema Node Package Manager (NPM). Se trata de una campaña de estilo gusano debido a su capacidad para propagarse automáticamente a otros paquetes para así robar credenciales, publicarlas en una plataforma de control de versiones llamada GitHub y hacer públicos los repositorios privados que usan cualquiera de estos paquetes infectados.  

 

NPM es el gestor de paquetes predeterminado para proyectos en JavaScript Node.js compuesto por una herramienta de línea de comandos (CLI) para la publicación y descarga de paquetes, y un repositorio en línea que alberga paquetes de JavaScript. 

 

El malware incluye una función NpmModule.updatePackage que descarga cada paquete y modifica su package.json para después inyectar un script bundle.js que ejecuta diversas acciones maliciosas. Primeramente, la descarga de TruffleHog: un escáner de secretos de código abierto para identificar posibles credenciales, variables de entorno, API keys, tokens, credenciales de nube, etc. Después, la validación de los tokens de acceso de GitHub obtenidos anteriormente con el fin de detectar otros repositorios a los que el token tiene acceso. Por último, con los tokens recolectados, se crea un repositorio público y se publica en él un workflow de GitHub Actions diseñado para exfiltrar las credenciales de los repositorios comprometidos a través de un webhook externo. Los repositorios afectados se migran a repositorios públicos con la etiqueta “Migración Shai-Hulud”. De momento se han identificado más de 700 repositorios con dicha etiqueta.  

 

El código malicioso está diseñado para recolectar credenciales de múltiples plataformas como GitHub, NPM, AWS, Google Cloud, Atlassian y Datadog. Aunque proveedores como Google y CrowdStrike han afirmado que sus plataformas centrales no se han visto comprometidas, este incidente prende las alarmas para que los desarrolladores fortalezcan la seguridad de sus entornos.  

 

Indicadores de compromiso  

La presencia de cualquiera de los siguientes elementos podría considerarse un indicador de compromiso: 

  • Conexiones a "webhook[.]site" con ID "bb8ca5f6-4175-45d2-b042-fc9ebb8170b7". 

  • Archivo "bundle.js" en una distribución con hash "46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09". 

  • Presencia o carga un workflow de GitHub Actions con el nombre de "shai-hulud-workflow.yml". 

  • Presencia de una rama de repositorio "shai-hulud". 

  • Cambio repentino en la privacidad de los repositorios. 

Versiones Afectadas

El ataque empezó comprometiendo paquetes populares como @ctrl/tinycolor, ngx-bootstrap, ng2-file-upload y múltiples paquetes CrowdStrike NPM que fueron inmediatamente removidos. A continuación, se mencionan los principales paquetes afectados: 

  • @nativescript-community/sentry 4.6.43 

Recomendaciones

  • Desactivar acceso a NPM. 

  • Comprobar si hay nuevos repositorios o ramas creadas en sus cuentas en GitHub. 

  • Buscar repositorios públicos llamados Shai-Hulud o Shai-Hulud Migration que también contengan el nombre de su organización. 

  • Revisar los registros de auditoría de GitHub. 

  • Buscar llamadas API sospechosas. 

  • Monitorear en los logs llamadas RFC sospechosas y/o la creación de nuevos usuarios con permisos de administrador. 

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Lakshmanan, R. (2025, Septiembre 16). Self-Replicating Worm Hits 180+ npm Packages to Steal Credentials in Latest Supply Chain Attack. The Hacker News. Recuperado el 17 de Septiembre de 2025, en: https://thehackernews.com/2025/09/40-npm-packages-compromised-in-supply.html  
  2. Meyer, D. (2025, Septiembre 16). NPM Hit By Shai-Hulud, The Self-Replicating Supply Chain Attack. Checkmarx. Recuperado el 17 de Septiembre de 2025, en: https://checkmarx.com/zero-post/npm-hit-by-shai-hulud-the-self-replicating-supply-chain-attack/  
  3. Sharma, A. (2025, Septiembre 16). Self-propagating supply chain attack hits 187 npm packages. Recuperado el 17 de Septiembre de 2025, en: https://www.bleepingcomputer.com/news/security/self-propagating-supply-chain-attack-hits-187-npm-packages/  
  4. Argire, I. (2025, Septiembre 17). Shai-Hulud Supply Chain Attack: Worm Used to Steal Secrets, 180+ NPM Packages Hit. Recuperado el 17 de Septiembre de 2025, en: https://www.securityweek.com/shai-hulud-supply-chain-attack-worm-used-to-steal-secrets-180-npm-packages-hit/  

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 2 días 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más