\n
Un importante ataque a la cadena de suministro de JavaScript ha afectado al ecosistema cripto, comprometiendo cientos de paquetes NPM, incluidos al menos diez ampliamente utilizados en proyectos de Ethereum Name Service (ENS). El investigador de ciberseguridad<\/a> Charlie Eriksen, de Aikido Security<\/a>, confirm\u00f3 que estos paquetes estaban infectados con<\/strong> malware Shai Hulud<\/strong>, un gusano autorreplicante capaz de robar credenciales y propagarse de manera aut\u00f3noma. El malware representa un riesgo significativo<\/strong> para cualquier entorno donde se instalen las librer\u00edas afectadas.<\/p>\n <\/p>\n Entre los paquetes infectados, las librer\u00edas relacionadas con ENS<\/strong> son las m\u00e1s afectadas. El paquete content-hash, por s\u00ed solo, que cuenta con casi 36,000 descargas semanales y 91 paquetes dependientes, est\u00e1 comprometido, junto con address-encoder, ensjs, ens-validation, ethereum-ens y ens-contracts<\/strong>. Un paquete cripto no relacionado, crypto-addr-codec, con cerca de 35,000 descargas semanales, tambi\u00e9n se vio afectado. Estas infecciones amenazan la integridad de las herramientas<\/strong> utilizadas por desarrolladores en todo el ecosistema cripto, exponiendo potencialmente secretos sensibles si existen claves de wallet o credenciales privadas.<\/p>\n Tambi\u00e9n se vieron afectados paquetes no cripto. La plataforma de automatizaci\u00f3n Zapier y otras librer\u00edas ampliamente usadas, con decenas de miles de descargas semanales, fueron comprometidas, algunas con m\u00e1s de 1.5 millones de descargas semanales. Eriksen describi\u00f3 la escala del ataque como<\/strong> \u201cmasiva\u201d<\/strong>, advirtiendo que el gusano se propaga continuamente por los repositorios, lo que hace urgente su detecci\u00f3n y remediaci\u00f3n.<\/p>\n Shai Hulud se diferencia de ataques previos que apuntaban directamente a robar criptomonedas. En cambio, es un malware general para robar credenciales<\/strong>, capaz de capturar secretos, replicarse y hasta exponer repositorios privados<\/strong>. El experto en forense cripto Slava Demchuk se\u00f1al\u00f3 que, aunque no hay evidencia de robo de claves de wallet<\/strong>, cualquier secreto sensible en entornos infectados debe considerarse comprometido, aumentando los riesgos a nivel descendente.<\/p>\n La firma de ciberseguridad<\/a> Wiz report\u00f3 m\u00e1s de 25,000 repositorios afectados, con 1,000 nuevos agregados cada 30 minutos. Las empresas recomiendan investigaci\u00f3n y remediaci\u00f3n inmediatas<\/strong> para cualquier desarrollador que use paquetes NPM, a fin de prevenir compromisos adicionales<\/strong>. El ataque destaca vulnerabilidades en el modelo de cadena de suministro y subraya la necesidad de protocolos de seguridad<\/a> m\u00e1s estrictos en ecosistemas de c\u00f3digo abierto.<\/p>\n","protected":false},"excerpt":{"rendered":" Puntos clave de la noticia: El malware Shai Hulud infecta m\u00e1s de 400 paquetes NPM, incluidas diez librer\u00edas cr\u00edticas de ENS y cripto. El ataque puede robar credenciales, exponer repositorios privados y comprometer secretos de entornos sensibles. Tambi\u00e9n se ven afectados paquetes no cripto, y los expertos instan a investigar y remediar de inmediato para … <\/p>\nImpacto generalizado en paquetes cripto<\/h2>\n
![\"El](\"https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2025\/11\/Security-Shock-NPM.jpg\")
<\/p>\n