Puntos clave de la noticia:
- El malware Shai Hulud infecta más de 400 paquetes NPM, incluidas diez librerías críticas de ENS y cripto.
- El ataque puede robar credenciales, exponer repositorios privados y comprometer secretos de entornos sensibles.
- También se ven afectados paquetes no cripto, y los expertos instan a investigar y remediar de inmediato para evitar una mayor propagación.
Un importante ataque a la cadena de suministro de JavaScript ha afectado al ecosistema cripto, comprometiendo cientos de paquetes NPM, incluidos al menos diez ampliamente utilizados en proyectos de Ethereum Name Service (ENS). El investigador de ciberseguridad Charlie Eriksen, de Aikido Security, confirmó que estos paquetes estaban infectados con malware Shai Hulud, un gusano autorreplicante capaz de robar credenciales y propagarse de manera autónoma. El malware representa un riesgo significativo para cualquier entorno donde se instalen las librerías afectadas.
Impacto generalizado en paquetes cripto
Entre los paquetes infectados, las librerías relacionadas con ENS son las más afectadas. El paquete content-hash, por sí solo, que cuenta con casi 36,000 descargas semanales y 91 paquetes dependientes, está comprometido, junto con address-encoder, ensjs, ens-validation, ethereum-ens y ens-contracts. Un paquete cripto no relacionado, crypto-addr-codec, con cerca de 35,000 descargas semanales, también se vio afectado. Estas infecciones amenazan la integridad de las herramientas utilizadas por desarrolladores en todo el ecosistema cripto, exponiendo potencialmente secretos sensibles si existen claves de wallet o credenciales privadas.
También se vieron afectados paquetes no cripto. La plataforma de automatización Zapier y otras librerías ampliamente usadas, con decenas de miles de descargas semanales, fueron comprometidas, algunas con más de 1.5 millones de descargas semanales. Eriksen describió la escala del ataque como “masiva”, advirtiendo que el gusano se propaga continuamente por los repositorios, lo que hace urgente su detección y remediación.
Shai Hulud se diferencia de ataques previos que apuntaban directamente a robar criptomonedas. En cambio, es un malware general para robar credenciales, capaz de capturar secretos, replicarse y hasta exponer repositorios privados. El experto en forense cripto Slava Demchuk señaló que, aunque no hay evidencia de robo de claves de wallet, cualquier secreto sensible en entornos infectados debe considerarse comprometido, aumentando los riesgos a nivel descendente.
La firma de ciberseguridad Wiz reportó más de 25,000 repositorios afectados, con 1,000 nuevos agregados cada 30 minutos. Las empresas recomiendan investigación y remediación inmediatas para cualquier desarrollador que use paquetes NPM, a fin de prevenir compromisos adicionales. El ataque destaca vulnerabilidades en el modelo de cadena de suministro y subraya la necesidad de protocolos de seguridad más estrictos en ecosistemas de código abierto.
