Un masivo ataque al estilo Worm afecta a NPM y pone en riesgo las credenciales de la Billetera Cripto

Un ataque a la cadena de suministro de rápida propagación conocido como Shai-Hulud ha infectado a cientos de paquetes npm y ha expuesto credenciales sensibles de desarrolladores, incluidos tokens de GitHub, claves de nube y datos de billeteras de criptomonedas. La campaña comenzó a mediados de septiembre de 2025 y ha escalado rápidamente a medida que el gusano se mueve a través de cuentas de mantenedores y bibliotecas de JavaScript ampliamente utilizadas.

Cómo se Propaga el Gusano Shai-Hulud

Las agencias de seguridad informan que los atacantes primero comprometen una cuenta de mantenedor, a menudo a través de phishing, y luego cargan versiones modificadas de paquetes legítimos. Una vez que un desarrollador instala una de estas versiones, se ejecuta un script malicioso llamado bundle.js en sistemas macOS o Linux.

El gusano escanea máquinas y tuberías de CI en busca de secretos utilizando la herramienta de código abierto TruffleHog. Busca elementos como:

• Tokens de acceso personal de GitHub
• npm publicar tokens
• Claves de nube AWS, GCP y Azure
• Claves de billetera y credenciales de desarrollo de criptomonedas

Si encuentra tokens npm válidos, actualiza y vuelve a publicar inmediatamente paquetes adicionales propiedad del mismo mantenedor. Este comportamiento permite que el malware se replique rápidamente en todo el ecosistema.

Persistencia y Exposición de Datos

Los investigadores encontraron que el gusano intenta mantenerse activo creando flujos de trabajo de GitHub Actions dentro de los repositorios de las víctimas. También sube credenciales robadas y datos de repositorios privados a nuevos repositorios públicos de GitHub etiquetados como Shai-Hulud. Algunas bibliotecas comprometidas reciben miles de millones de descargas semanales, lo que plantea serias preocupaciones sobre el alcance de la exposición.

Aunque no se han confirmado casos que muestren infecciones directas del Servicio de Nombres de Ethereum o bibliotecas web3 populares, el riesgo sigue siendo alto. Ataques previos en npm y PyPI han apuntado específicamente a herramientas de criptomonedas, por lo que los desarrolladores que trabajan en billeteras, contratos inteligentes o aplicaciones web3 deben seguir siendo cautelosos.

Por qué los proyectos de criptomonedas enfrentan un riesgo elevado

Los desarrolladores a menudo dependen de paquetes de npm dentro de sistemas CI/CD, contenedores y entornos de producción. Por lo tanto, una única dependencia comprometida puede afectar a flujos de trabajo completos de blockchain. Los atacantes podrían interceptar operaciones de billetera, capturar frases semilla o leer secretos de despliegue vinculados a la gestión de contratos inteligentes.

Lo que los desarrolladores deben hacer ahora

Los expertos instan a los equipos a actuar de inmediato:

• Auditar todas las dependencias utilizadas antes del 16 de septiembre de 2025
• Versiones de paquete seguras de pin
• Rote todas las credenciales de desarrollador, incluyendo GitHub, npm, SSH y tokens de la nube
• Habilitar MFA resistente a phishing en todas las cuentas

El incidente de Shai-Hulud destaca un cambio importante en la seguridad de código abierto. Los gusanos autónomos de la cadena de suministro ya no son teóricos. El ecosistema ahora necesita controles de dependencia más estrictos, mejores herramientas y permisos más restrictivos para los mantenedores.