La campaña de la cadena de suministro de Miasma ha provocado una nueva ola de ataques llamada infiernoesta vez involucrando 37 artefactos de rueda maliciosos en 19 paquetes en el registro Python Package Index (PyPI), mientras los ataques estilo Mini Shai-Hulud continúan refinándose y dividiéndose para apuntar a ecosistemas específicos.

«Las versiones comprometidas enviaron un archivo *-setup.pth que intenta ejecutarse automáticamente durante el inicio de Python, descargar el tiempo de ejecución de Bun JavaScript y ejecutar una carga útil de JavaScript ofuscada llamada _index.js», Socket dicho en un nuevo análisis.

La lista de paquetes identificados se encuentra a continuación:

• bramina 0.0.2, 0.0.3, 0.0.4
• cmd2func 0.2.2, 0.2.3
• nevera portátil 0.4.1, 0.4.2
• lanzamiento dinamo 1.5.4
• motor-ejecutor 0.3.4, 0.3.5
• ejecutor-http 0.1.3, 0.1.4
• funcióndesc 0.2.2, 0.2.3
• mágico 0.6.8, 0.6.9
• magia-ai 0.4.4, 0.4.5
• mrbios 0.1.1, 0.1.2
• napari-ufish 0.0.2, 0.0.3
• caja nuc 0.1.2, 0.1.3
• okita 0.0.7, 0.0.8
• agentes-panteón 0.6.1, 0.6.2
• conjuntos de herramientas pantheon 0.5.5, 0.5.6
• spateo-liberación 1.1.2
• sinago 0.1.1, 0.1.2
• ufish 0.1.2, 0.1.3
• uprobe 0.1.3, 0.1.4

Al igual que en las campañas anteriores de Shai-Hulud y Miasma, la carga maliciosa descarga e instala el tiempo de ejecución Bun JavaScript, que luego se utiliza para lanzar un ladrón de JavaScript muy ofuscado que puede recopilar una amplia gama de datos de los sistemas de los desarrolladores.

Esto incluye secretos asociados con GitHub, npm, PyPI, RubyGems, JFrog, CircleCI, Anthropic, AWS, GCP, Azure y Kubernetes, junto con configuraciones de Docker, tokens de Vault, claves SSH, historiales de shell, archivos .env, archivos .npmrc, archivos .pypirc, configuraciones de Claude/MCP y otras credenciales locales o accesibles para corredores.

Lo que ha cambiado esta vez es el marcador de campaña. Mientras que las iteraciones anteriores exportaban los datos recopilados a un repositorio público de GitHub con la descripción «Miasma: The Spreading Blight», «Miasma: The Spreading Blight» y «Miasma – The Spreading Blight», la última ola incluye las descripciones del repositorio –

• Hades – El fin de los condenados
• Hades * El fin de los condenados

«Eso hace que Hades se entienda mejor como una rama PyPI del mismo linaje Mini Shai-Hulud/Miasma, no como un incidente de malware Python independiente», dijo la compañía de seguridad de aplicaciones. «El manual principal sigue siendo el mismo: abusar de los canales de paquetes confiables, ejecutar antes del uso normal del paquete, preparar una carga útil de JavaScript impulsada por Bun, robar credenciales de desarrollador y CI/CD, y usar lógica de exfiltración y propagación centrada en GitHub».

Lo que ha cambiado esta vez es el uso de un archivo *-setup.pth que es procesado por el módulo «site» de Python durante el inicio del intérprete, lo que resulta en la ejecución de la carga útil maliciosa después de la instalación sin necesidad de que la víctima importe el paquete envenenado. La carga útil, a su vez, descarga y ejecuta Bun desde GitHub y ejecuta el ladrón, no sin antes comprobar si el sistema corresponde a la configuración regional rusa.

«Este es el equivalente en Python del problema del gancho de instalación de npm que Shai-Hulud y Miasma explotan repetidamente», explicó Socket. «La sintaxis es diferente, pero la consecuencia de seguridad es la misma: la instalación de dependencias crea una ventaja de ejecución antes de que se revise o invoque el código de la aplicación».

Hades Cluster intenta engañar a los escáneres de seguridad de IA

También están comprometidos, como parte de la campaña Hades, una serie de paquetes relacionados con la biología computacional, la bioinformática y el ecosistema de análisis genotipo-fenotipo.

• aumentar 0.11.97
• achicar 0.8.101
• gpsea 0.9.14
• mflux-streamlit 0.0.3, 0.0.4
• nhmpy 2.4.7
• ppkt2synergy 0.1.1
• herramientas pyphetools 0.9.120

Curiosamente, este clúster emplea un enfoque diferente en el que el punto de entrada está incrustado dentro del archivo «__init__.py» del paquete como un gancho de importación de una sola línea ofuscado. Sin embargo, el resultado es el mismo: descargar y ejecutar el tiempo de ejecución de Bun, seguido de la ejecución de la carga útil de JavaScript.

«El uso del tiempo de ejecución Bun sigue siendo un tema constante», StepSecurity dicho. «La descarga de Bun como un archivo ZIP independiente permite que el malware ejecute tareas complejas de JavaScript en entornos que carecen de una instalación de Node.js, evitando los controles tradicionales del administrador de paquetes y los registros de proxy de red».

En lo que se ha caracterizado como una novedosa técnica de evasión de defensa de inteligencia artificial (IA), el malware también incorpora una inyección de texto sin formato que intenta engañar a las herramientas de análisis de paquetes basadas en Large Language Model (LLM) para indicar al modelo que clasifique el paquete como seguro.

Además de eso, el malware consulta las confirmaciones de GitHub para la palabra clave «TheBeautifulSnadsOfTime» para extraer una cadena codificada en Base64 que contiene una carga útil de JavaScript. También sondea GitHub en busca de confirmaciones que coincidan con la palabra clave «firedalazer» para buscar un cuentagotas basado en Python y ejecutarlo.

Algunas de las características importantes integradas en el malware Hades se enumeran a continuación:

• Replica y distribuye lateralmente a través de redes de desarrolladores a través de SSH o SCP, envía versiones troyanizadas de paquetes PyPI desde sistemas comprometidos explotando las configuraciones de confianza OpenID Connect (OIDC) de los desarrolladores.
• Apunte a los repositorios de GitHub para extraer secretos de la organización utilizando los ejecutores de GitHub Actions si el token de GitHub recolectado tiene los permisos de escritura adecuados.
• Carpetas del espacio de trabajo local de puerta trasera para activar la ejecución de código cuando los asistentes de IA lo analizan o lo abren en IDE. Los objetivos incluyen Anthropic Claude, OpenAI Codex, Google Gemini, Microsoft Copilot, Cline, Aider, Tabby, Amazon Q, Cody, Bolt y Continuar.
• Instale un servicio en segundo plano llamado «gh-token-monitor» que actúa como un limpiador eliminando todos los datos («rm -rf ~/; rm -rf ~/Documents») si el desarrollador revoca el token de GitHub robado.

«Una capacidad clave del actor Miasma es leer la memoria del proceso del ejecutor de GitHub Actions (el proceso Runner.Worker) para extraer secretos», dijo el investigador de seguridad Rohan Prabhu. «En campañas anteriores, esto se limitaba a los sistemas Linux que usaban /proc/{pid}/mem. La campaña Hades presenta raspadores de memoria personalizados para macOS y Windows».

El desarrollo se produce cuando StepSecurity reveló que un atacante desconocido comprometió la cuenta de GitHub («LeonOstrez») vinculada a «Pythagora-io/gpt-pilot», una popular herramienta de desarrollo de inteligencia artificial de código abierto, y forzó una variante del gusano de robo de credenciales Shai-Hulud a la rama principal. El malware está diseñado para activarse silenciosamente cuando un desarrollador desprevenido ejecuta el proyecto, evitando al mismo tiempo los sistemas con una configuración regional rusa.

«El malware, una variante del gusano Shai-Hulud, fue detenido por un defensor improbable: ruff, un formateador de código Python», dijo Ashish Kurmi, cofundador y director de tecnología de StepSecurity. dicho. «El atacante intentó dos veces pasar el código malicioso a través de CI y falló en ambas ocasiones porque su archivo Python inyectado no coincidía con las reglas de formato y linting del proyecto».

La empresa de seguridad de la cadena de suministro de software Snyk tiene descrito estos ataques como parte del linaje Shai-Hulud/Miasma, con cada ola aprovechando un ladrón ofuscado en tiempo de ejecución de Bun y combinándolo con «nueva persistencia, nuevas rutas de exfiltración y nuevas formas de activar código automáticamente en el momento de la instalación o compilación».

«La campaña Miasma demuestra que tener claves firmadas y cuentas de mantenedor autenticadas ya no es una garantía absoluta de seguridad», Cloudsmith dicho. «Cuando los registros y repositorios ascendentes se ven comprometidos, el código público se convierte en una de las formas más fáciles y directas de ser pirateado».

Una nueva campaña de ataque a la cadena de suministro Mini Shai-Hulud, con nombre en código Miasmaha comprometido paquetes de @redhat-cloud-services para robar credenciales y secretos de las máquinas de los desarrolladores y entregar un gusano autopropagante.

«Esta es efectivamente una campaña Mini Shai-Hulud: utiliza las mismas tácticas centrales de ejecución en el momento de la instalación, recolección de credenciales, segmentación de CI/CD, exfiltración cifrada y posible propagación descendente», afirmó Socket. dicho.

Actualmente se desconoce exactamente quién está detrás de la actividad de ataque, dado que TeamPCP, un infame grupo de cibercrimen, ha abierto las herramientas de ataque vinculadas al gusano Shai-Hulud, abriendo la puerta para que otros actores de amenazas realicen ataques similares y dificultando la atribución definitiva.

Los nombres de algunos de los paquetes afectados se enumeran a continuación:

• @redhat-cloud-services/vulnerabilidades-cliente
• @redhat-cloud-services/tsc-transform-importaciones
• @redhat-cloud-services/cliente-de-inventario-topológico
• @redhat-cloud-services/fuentes-cliente
• @redhat-cloud-services/rule-components
• @redhat-cloud-services/cliente-de-remediaciones
• @redhat-cloud-services/rbac-client

Por análisis de Seguridad del Aikido, JFrog, microsoft, Seguridad buey, SafeDep, PasoSeguridady Fenómenolos paquetes npm contienen un enlace de preinstalación ofuscado que está diseñado para recopilar secretos de GitHub Actions, tokens npm, credenciales de nube, material de Kubernetes y Vault, claves SSH, credenciales de Git y otros archivos confidenciales.

Como se observó en oleadas anteriores de Mini Shai-Hulud, el malware también contiene una lógica de exfiltración cifrada que transmite los datos a «api.anthropic».[.]com:443/v1/api» y utiliza GitHub como mecanismo alternativo. Esto indica intentos realizados por el atacante de robar credenciales y utilizarlas como arma para envenenar aún más la cadena de suministro de software.

«Confirma el sobre de resultados cifrado a través de la API de GitHub», dijo Socket. «El mensaje de confirmación puede incluir: IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner:«.

Otro paso notable que lleva a cabo el malware es evitar la ejecución en sistemas en idioma ruso, un patrón que también se observa en las campañas de la cadena de suministro de GlassWorm.

«Para npm, la carga útil llama al intercambio de tokens OIDC y a los puntos finales whoami, vuelve a empaquetar un tarball (updateTarball, package-updated.tgz) y firma el artefacto a través de Sigstore», dijo SafeDep. «Las credenciales robadas se filtran a repositorios públicos de GitHub creados por atacantes, cada uno con la descripción Miasma: The Spreading Blight».

La primera confirmación que contiene la cadena «Miasma: The Spreading Blight» apareció el 29 de mayo de 2026, señaló OX Security, lo que indica que esta variante estaba activa desde entonces o que el actor de amenazas comenzó a realizar pruebas en ese momento.

En cuanto a GitHub, el malware enumera los repositorios en los que el token puede escribir, lee action.yml/action.yaml a través de GraphQL y confirma un flujo de trabajo a través de la mutación createCommitOnBranch para que la confirmación aparezca como un cambio firmado y verificado. Otras acciones llevadas a cabo por el malware se enumeran a continuación:

• Intente escalar privilegios lanzando un contenedor que monte de forma vinculante el host /etc/sudoers.d y otorgue al corredor de CI sudo sin contraseña
• Verifique la protección de endpoints de CrowdStrike, SentinelOne, Carbon Black y StepSecurity Harden-Runner antes de comenzar las acciones maliciosas.
• Establezca persistencia inyectando un gancho SessionStart en Anthropic Claude Code y un task.json con «runOn»: «folderOpen» para proyectos de Microsoft Visual Studio Code para que el malware se inicie automáticamente durante cada sesión.

«Uno de los principales cambios en esta nueva variante es la incorporación de nuevos recolectores de datos centrados en identidades en la nube», dijeron los investigadores de Wiz. «Específicamente, se agregaron recopiladores de identidades de GCP y Azure que recopilan todas las identidades a las que tiene acceso la máquina infectada. Mientras que las versiones anteriores del malware se centraban principalmente en extraer secretos de estos entornos, esta variante sugiere un mayor enfoque del atacante en obtener y aprovechar el acceso a la propia nube.

A diferencia de las versiones anteriores, también se ha descubierto que el malware genera una carga útil cifrada de forma única para cada infección, lo que hace que la detección y el seguimiento de versiones sean significativamente más difíciles.

La evidencia sugiere que el compromiso de la cuenta de GitHub de un empleado de Red Hat fue el paciente cero que se utilizó para inyectar la carga útil en estos paquetes. Se dice que la cuenta comprometida envió confirmaciones huérfanas maliciosas a dos repositorios de RedHatInsights, evitando la revisión del código.

Se recomienda aislar los hosts que han instalado las versiones afectadas, eliminar las versiones maliciosas, rotar las credenciales expuestas, revisar si hay signos de actividad sospechosa de GitHub o npm, auditar el entorno en busca de artefactos de persistencia que involucren cambios en los archivos de configuración (~/.claude/settings.json, .vscode/tasks.json, .github/workflows/codeql.yml, .github/setup.js) y aplicar controles de acceso estrictos.

«Debido a que el malware incluye ejecución en segundo plano y posibles mecanismos de persistencia de herramientas de desarrollador, desinstalar el paquete npm o eliminar node_modules no debe considerarse una limpieza suficiente», explicó Socket.

«Para los sistemas CI/CD, suspenda las ejecuciones de flujo de trabajo afectadas, invalide los artefactos de compilación producidos durante la ventana de exposición y revise si se creó alguna versión, imagen de contenedor, paquete npm o artefacto de implementación después de instalar el paquete malicioso».

Investigadores de ciberseguridad han descubierto un paquete NuGet malicioso que se hace pasar por un kit de desarrollo de software C# para Sicoob, uno de los sistemas financieros cooperativos más grandes de Brasil, para desviar ID de clientes y certificados PFX.

De acuerdo a Enchufeversiones 2.0.0 a 2.0.4 de «Sicoob.Sdk» contiene funcionalidad para filtrar información confidencial, incluidos certificados PFX que se utilizan para autenticar empresas en la red bancaria Sicoob con el fin de automatizar operaciones bancarias, como el procesamiento de pagos instantáneos y la generación de códigos QR dinámicos Pix. Se estima que el paquete se descargó casi 500 veces.

«Cuando un desarrollador crea una instancia de SicoobClient con una ID de cliente, una ruta de archivo PFX y una contraseña PFX, el paquete lee el archivo PFX del disco, codifica en Base64 su contenido y envía la ID de cliente suministrada, la contraseña PFX y los datos PFX codificados a un punto final Sentry de terceros codificado», dijo el investigador de seguridad Kirill Boychenko.

Además, el paquete está diseñado para capturar respuestas sin procesar de la API de Boleto a través de una ruta Sentry separada. Boleto es un método de pago en efectivo popular en Brasil para realizar compras en línea y fuera de línea. Esto puede potencialmente exponer detalles confidenciales de transacciones, estado de pago, montos, fechas de vencimiento, identificadores y datos del pagador o beneficiario.

Como resultado, los datos robados podrían abrir la puerta a riesgos graves, ya que el actor de amenazas puede abusar de ellos para hacerse pasar por la integración de la API bancaria Sicoob de la víctima, añadió Socket. Tras una divulgación responsable, NuGet bloqueó el paquete. El perfil detrás del paquete, llamado «sicoob», también ha enumerado otros 11 paquetes NuGet que en conjunto han acumulado alrededor de 6.000 descargas.

La compañía de seguridad de aplicaciones también dijo que el modo Google Search AI mostró el paquete como una biblioteca C# legítima para interactuar con las API bancarias de Sicoob, amplificando así el paquete malicioso para los desarrolladores desprevenidos que pueden estar buscándolo.

Otro aspecto importante del ataque es la discrepancia entre el origen y el paquete entre el repositorio de GitHub vinculado y el artefacto distribuido a través de NuGet. Se sospecha que el repositorio de GitHub está diseñado para dar una apariencia de legitimidad a la operación manteniéndola limpia, mientras que la funcionalidad maliciosa de robo de datos se introduce sólo en el paquete cargado en el registro.

Es más, el compromiso del material de autenticación de la API de Sicoob también puede plantear riesgos indirectos para los usuarios finales, ya que podría filtrar datos financieros posteriores o permitir el abuso de pagos.

Se recomienda a las organizaciones que hayan instalado «Sicoob.Sdk» que eliminen inmediatamente el paquete, traten el material PFX como comprometido, reemplacen los certificados PFX expuestos, roten las contraseñas de PFX y cambien o deshabiliten las ID de los clientes afectados cuando corresponda. También se recomienda auditar la autenticación de Sicoob y los registros de API para detectar signos de actividad inusual.

El desarrollo coincide con el descubrimiento de 14 paquetes npm maliciosos que escriben bibliotecas conocidas de configuración de entorno, OpenSearch, ElasticSearch, DevOps y para recolectar credenciales de AWS, tokens de HashiCorp Vault, tokens de npm y secretos de canalización de CI/CD del entorno host mediante un recolector de credenciales especialmente diseñado que se lanza a través de un gancho de preinstalación.

Según el equipo de investigación de seguridad de Microsoft Defender, los paquetes fueron publicados por un único actor de amenazas llamado «vpmdhaj» («a39155771@gmail.com») el 28 de mayo de 2026. Los nombres de los paquetes se encuentran a continuación:

• @vpmdhaj/herramientas-devops
• @vpmdhaj/elástico-ayudante
• @vpmdhaj/opensearch-setup
• @vpmdhaj/configuración de búsqueda
• utilidad-config-aplicación
• ayudante de búsqueda abierta elástica
• administrador de configuración env
• utilidad-config-opensearch
• escáner-de-seguridad-opensearch
• configuración de búsqueda abierta
• herramienta de configuración de opensearch
• configuración-del-clúster-de-búsqueda
• configuración del motor de búsqueda
• vpmdhaj-opensearch-configuración

Los hallazgos son los últimos de una asombrosa serie de campañas de ataques a la cadena de suministro que se han dirigido al ecosistema npm en los últimos días.

• 164 paquetes npm maliciosos en cinco espacios de nombres con alcance que contienen una carga útil posterior a la instalación que descarga JavaScript de segunda etapa, lo genera como un proceso independiente y envía las variables de entorno de la víctima («process.env») a «oob.moika[.]tecnología/informe.»
• 141 paquetes npm maliciosos publicado entre el 7 y el 27 de mayo de 2026, que abusa de npm como alojamiento estático gratuito para un proxy web monetizado con publicidad dirigido a estudiantes, que muestra anuncios emergentes a quienes acceden a estas páginas a través de resultados de búsqueda o enlaces compartidos.
• Un paquete npm malicioso llamado «forjar-jsxy» que es capaz de realizar registros de teclas, monitoreo del portapapeles, escaneo de .env, filtración del historial de shell, inventario de host, acceso remoto al sistema de archivos, captura de pantalla y escaneo de billeteras de criptomonedas. Se considera que «Forge-jsxy» es una continuación de la campaña «forge-jsx» que salió a la luz a fines del mes pasado.
• 176 paquetes npm maliciosos que emplean confusión de dependencia mediante el uso de un número de versión alto («99.99.99») para distribuir un script posterior a la instalación con capacidades para tomar huellas dactilares del host y descargar una carga útil de JavaScript específica de la plataforma, que luego realiza reconocimientos adicionales, extrae credenciales y otros secretos valiosos del desarrollador, y descarga y ejecuta un binario de segunda etapa.

En un informe recientemente publicado, Sonatype dijo que los actores de amenazas han superado las técnicas clásicas de typosquatting, yendo más allá de errores ortográficos obvios al uso de nombres que parecen convincentes en flujos de trabajo legítimos de desarrolladores para robar datos y soltar cargas maliciosas. Esto, a su vez, transforma un paso de instalación de rutina en una vía propensa a riesgos para el reconocimiento, el robo de credenciales y el compromiso posterior.

Las técnicas populares de brandjacking incluyen la adición de prefijos o sufijos, confusión de dependencias, imitación de versiones, términos de destino integrados, ámbitos o espacios de nombres alterados y nombres que se asemejan a la función de un paquete legítimo.

«’Typosquatting’ es ahora una etiqueta demasiado limitada para lo que captura este análisis», dijo la empresa de seguridad de la cadena de suministro. dicho. «El patrón más amplio es la legitimidad fabricada: los atacantes diseñan nombres de paquetes para que parezcan plausibles, útiles y operativamente rutinarios dentro de los ecosistemas de software modernos».

Estos incidentes también se han desarrollado contra una serie de compromisos en la cadena de suministro de software que se han relacionado con TeamPCP (también conocido como Replicating Marauder y UNC6780), que se ha convertido en una fuerza a tener en cuenta al envenenar herramientas de desarrollo populares en npm, PyPI, Docker Hub y Packagist en forma de gusano.

«Replicar Marauder no consistió simplemente en insertar código malicioso en paquetes, sino también explotar la automatización, la confianza heredada y los flujos de trabajo de CI/CD ordinarios para impulsar el compromiso aún más», dijo el investigador de BlueVoyant, Michael Warren. dicho.

«Este fue el punto donde la campaña demostró más claramente que una dependencia o imagen de contenedor envenenada podría desencadenar un compromiso en el proceso de lanzamiento de una organización no relacionada. El cambio táctico convirtió el envenenamiento de software aislado en un método reproducible para la expansión de víctima a víctima».

Una nueva campaña de ataque «coordinada» a la cadena de suministro ha afectado a ocho paquetes en empaquetador incluido código malicioso diseñado para ejecutar un binario de Linux recuperado de una URL de versiones de GitHub.

«Aunque los paquetes afectados eran todos paquetes de Composer, el código malicioso no se agregó a compositor.json», Socket dicho. «En cambio, se insertó en package.json, dirigido a proyectos que incluyen herramientas de compilación de JavaScript junto con código PHP».

Esta «ubicación entre ecosistemas» hace que la actividad se destaque porque los desarrolladores y equipos de seguridad que escanean las dependencias de PHP solo pueden centrarse en los metadatos relacionados con Composer, mientras omiten los ganchos del ciclo de vida de package.json que están incluidos en el paquete. Desde entonces, las versiones maliciosas se han eliminado de Packagist.

Un análisis de los paquetes ha descubierto que sus repositorios ascendentes han sido modificados para incluir un script posterior a la instalación que intenta descargar un binario de Linux desde una URL de versiones de GitHub («github[.]com/parikhpreyash4/systemd-network-helper-aa5c751f»), guárdelo en la carpeta «/tmp/.sshd», cambie sus permisos usando «chmod» para otorgar permisos de ejecución a todos los usuarios y ejecútelo en segundo plano.

Los nombres de los paquetes y la versión afectada asociada se enumeran a continuación:

• moritz-sauer-13/silverstripe-cms-theme (dev-master)
• crosiersource/crosierlib-base (dev-master)
• devdojo/wave (dev-principal)
• devdojo/génesis (dev-main)
• katanaui/katana (dev-principal)
• elitedevsquad/sidecar-laravel (3.x-dev)
• r2luna/cerebro (dev-principal)
• baskarcm/tzi-chat-ui (dev-principal)

La investigación de Socket encontró referencias a la misma carga útil en 777 archivos en GitHub, lo que sugiere que podría ser parte de una campaña más amplia. en al menos dos instanciasse agregó a un flujo de trabajo de GitHub. Sin embargo, actualmente no se sabe cuántos de estos coinciden con distintos compromisos, bifurcaciones, artefactos de paquetes duplicados o referencias almacenadas en caché.

«Esto sugiere que el atacante no confiaba en un único mecanismo de ejecución. En los artefactos del paquete, la carga útil se activaba a través de scripts postinstalación package.json», dijo la firma de seguridad de aplicaciones. «En los archivos de flujo de trabajo, estaba posicionado para ejecutarse durante los trabajos de GitHub Actions».

Es más, la naturaleza exacta de la carga útil descargada de GitHub no está clara, ya que cuenta GitHub asociado con el alojamiento del repositorio ya no está disponible. La elección del nombre «gvfsd-network» para el malware es interesante, ya que se refiere a un demonio del sistema de archivos virtual GNOME (GVfs). responsable para administrar y explorar recursos compartidos de red.

«Incluso sin el binario de segunda etapa, el instalador malicioso es suficiente para justificar el bloqueo», dijo Socket. «Proporciona ejecución remota de código durante la instalación o creación de flujos de trabajo e intenta ocultar su actividad desactivando la verificación TLS, suprimiendo errores y ejecutando un binario descargado en segundo plano».

GitHub ha implementado nuevos controles para npm para mejorar la seguridad de la cadena de suministro de software, brindando a los mantenedores la capacidad de aprobar explícitamente una versión antes de que los paquetes estén disponibles públicamente para su instalación.

La función, denominada publicación por etapas, ahora está disponible de forma generalizada en npm. Exige que un mantenedor humano pase un desafío de autenticación de dos factores (2FA) para aprobar un paquete antes de enviarlo a npmjs.[.]com.

«En lugar de una publicación directa que pone inmediatamente a disposición de los consumidores una versión del paquete, el tarball prediseñado se carga en una cola de espera donde un responsable de mantenimiento debe aprobarlo explícitamente antes de que sea instalable», GitHub dicho.

La subsidiaria propiedad de Microsoft dijo que el cambio garantiza una «prueba de presencia» para cada publicación, incluidas aquellas que provienen de flujos de trabajo CI/CD no interactivos y publicaciones confiables con autenticación OpenID Connect (OIDC).

Antes de usar publicación en escenalos mantenedores de paquetes deben cumplir los siguientes criterios:

• Tener acceso de publicación al paquete.
• El paquete ya existe en el registro npm, lo que significa que no se puede preparar un paquete nuevo
• 2FA está habilitado para la cuenta

Los desarrolladores pueden utilizar el comando «npm stage Publish» desde el directorio raíz del paquete para enviarlo a un área de preparación. Para utilizar este comando, es esencial actualizar a npm CLI 11.15.0 o posterior. Para una protección óptima, GitHub recomienda que la publicación por etapas se combine con publicación confiable utilizando OIDC.

Una segunda actualización centrada en npm se relaciona con la introducción de tres nuevos indicadores de fuente de instalación junto con el indicador existente -allow-git –

• –allow-file: Controla las instalaciones desde rutas de archivos locales y archivos tar locales
• –allow-remote: controla las instalaciones desde URL remotas, incluidos archivos tar https
• –allow-directory: Controla las instalaciones desde directorios locales

Las banderas permiten a los desarrolladores «aplicar el mismo enfoque de lista permitida explícita a cada fuente de instalación que no sea del registro», dijo GitHub.

El desarrollo se produce en medio de un aumento masivo de ataques a la cadena de suministro de software dirigidos a ecosistemas de código abierto en los últimos meses, con un grupo cibercriminal conocido como TeamPCP involucrado en envenenar paquetes populares a una escala sin precedentes a través de un ciclo de compromisos que se perpetúa a sí mismo.

Los investigadores de ciberseguridad han señalado una nueva campaña de ataque a la cadena de suministro de software que se ha dirigido a múltiples paquetes PHP pertenecientes a Laravel-Lang para ofrecer un marco integral de robo de credenciales.

Los paquetes afectados incluyen:

• laravel-lang/lang
• laravel-lang/http-status
• laravel-lang/atributos
• laravel-lang/acciones

«El momento y el patrón de las etiquetas recientemente publicadas apuntan a un compromiso más amplio del proceso de lanzamiento de la organización Laravel Lang, en lugar de una única versión de paquete malicioso», Socket dicho. «Las etiquetas se publicaron en rápida sucesión el 22 y 23 de mayo de 2026, y muchas versiones aparecieron con sólo unos segundos de diferencia».

Se han identificado más de 700 versiones asociadas con estos paquetes, lo que indica etiquetado masivo o republicación automatizada. Se sospecha que el atacante pudo haber logrado obtener acceso a credenciales a nivel de organización, automatización de repositorios o infraestructura de lanzamiento.

La principal funcionalidad maliciosa se encuentra en un archivo llamado «src/helpers.php» que está incrustado en las etiquetas de versión. Está diseñado principalmente para tomar huellas digitales del host infectado y contactar con un servidor externo («flipboxstudio[.]info») para recuperar una carga útil multiplataforma basada en PHP que se ejecuta en Windows, Linux y macOS.

Según Aikido Security, el dropper ofrece un iniciador de Visual Basic Script en Windows y lo ejecuta a través de cscript. En Linux y macOS, ejecuta la carga útil del ladrón mediante exec().

«Porque este archivo [‘src/helpers.php’] está registrado en compositor.json bajo autoload.files, la puerta trasera se ejecuta automáticamente en cada solicitud PHP manejada por la aplicación comprometida», explicó Socket.

«El script genera un marcador único por host (un hash MD5 que combina la ruta del directorio, la arquitectura del sistema y el inodo) para garantizar que la carga útil solo se active una vez por máquina. Esto evita ejecuciones redundantes y ayuda a que el malware permanezca sin ser detectado después de la ejecución inicial».

El ladrón está equipado para recopilar una amplia gama de datos de sistemas comprometidos y filtrarlos al mismo servidor. Esto incluye –

• Roles de IAM y documentos de identidad de instancias mediante la consulta de puntos finales de metadatos en la nube
• Credenciales predeterminadas de la aplicación Google Cloud
• Tokens de acceso de Microsoft Azure y perfiles de entidad de servicio
• Tokens de cuenta de servicio de Kubernetes y configuraciones de registro de Helm
• Tokens de autenticación para DigitalOcean, Heroku, Vercel, Netlify, Railway y Fly.io
• Fichas de bóveda de HashiCorp
• Tokens y configuraciones de Jenkins, GitLab Runners, GitHub Actions, CircleCI, TravisCI y ArgoCD
• Frases semilla y archivos asociados con carteras de criptomonedas (Electrum, Exodus, Atomic, Ledger Live, Trezor, Wasabi y Sparrow) y extensiones (MetaMask, Phantom, Trust Wallet, Ronin, Keplr, Solflare y Rabby)
• Historial del navegador, cookies y datos de inicio de sesión de Google Chrome, Microsoft Edge, Mozilla Firefox, Brave y Opera mediante el uso de un ejecutable integrado de Windows codificado en Base64 que evita el cifrado vinculado a aplicaciones de Chromium (ABE) protecciones
• Bóvedas locales y datos de extensiones de navegador para 1Password, Bitwarden, LastPass, KeePass, Dashlane y NordPass
• Sesiones guardadas de PuTTY/WinSCP
• Volcados del Administrador de credenciales de Windows
• Sesiones guardadas de WinSCP
• Archivos RDP
• Tokens de sesión asociados con aplicaciones como Discord, Slack y Telegram
• Datos de Microsoft Outlook, Thunderbird y clientes FTP populares (FileZilla, WinSCP y CoreFTP)
• Archivos de configuración y credenciales que contienen tokens de autenticación de Docker, claves privadas SSH, credenciales de Git, archivos de historial de shell, archivos de historial de bases de datos, configuraciones de clúster de Kubernetes, archivos .env, wp-config.php y docker-compose.yml.
• Variables de entorno cargadas en el proceso PHP
• Credenciales de control de fuente de archivos .gitconfig, .git-credentials y .netrc globales y locales
• Configuración de VPN y archivos de inicio de sesión guardados para OpenVPN, WireGuard, NetworkManager y VPN comerciales como NordVPN, ExpressVPN, CyberGhost y Mullvad

«La carga útil recuperada es un ladrón de credenciales PHP de aproximadamente 5900 líneas, organizado en quince módulos recopiladores especializados», dijo el investigador de Aikido Ilyas Makari. dicho. «Después de recopilar todo lo que puede encontrar, cifra los resultados con AES-256 y los envía a flipboxstudio[.]información/exfil. Luego se borra del disco para limitar la evidencia forense».

Ha resurgido una campaña de malware autorreplicante conocida como Mini Shai-Hulud, esta vez incrustándose en cientos de paquetes npm. El actor de amenazas detrás de esto, identificado como TeamPCP, ha sido vinculado a oleadas anteriores de la misma campaña, siendo esta última variante más capaz que las oleadas anteriores.

Los investigadores que analizaron la carga útil encontraron un gusano que se propaga de forma autónoma, instala puertas traseras persistentes a nivel del sistema operativo y está diseñado específicamente para sobrevivir a la primera respuesta más común: eliminar el paquete.

Cómo funciona el ataque

El malware se ejecuta en el momento en que se instala un paquete de software afectado, ya sea en el entorno local de un desarrollador o dentro de una canalización de CI/CD. Un gancho se dispara antes de cualquier otro paso, dando a la carga útil acceso inmediato a la máquina.

Recopila tokens de GitHub, tokens npm, claves SSH, credenciales de proveedores de nube y cadenas de conexión de bases de datos. En entornos de compilación automatizados, utiliza la propia identidad confiable de la canalización para obtener credenciales de publicación, lo que le permite enviar versiones de paquetes envenenados al registro con el nombre de un mantenedor legítimo. Los datos robados se envían a repositorios de GitHub controlados por el atacante.

Después de robar un token de publicación, el malware verifica todos los paquetes a los que puede acceder el token, agrega su código a esos paquetes y publica nuevas versiones envenenadas utilizando la cuenta del mantenedor. Por lo tanto, un ejecutor de CI infectado (la máquina o servidor virtual que crea, prueba y publica automáticamente el código de un proyecto) puede contaminar todos los paquetes que el ejecutor puede publicar. También busca en la computadora de un desarrollador otros proyectos de Node.js y se copia en ellos, por lo que una sola instalación infectada puede comprometer una estación de trabajo completa.

«Si alguno de los paquetes afectados se ejecutó en su entorno, trate la máquina o el ejecutor como expuesto hasta que se roten los secretos, se eliminen los artefactos de persistencia y se haya revisado la actividad de publicación reciente». Investigadores de seguridad del Aikido escribió en una publicación de blog.

Quitar el paquete no es suficiente

Los investigadores descubrieron que una reversión de dependencia estándar deja intacto el acceso del atacante. El malware incorpora puertas traseras en la configuración de las herramientas de desarrollo, en particular .vscode/tasks.json y .claude/settings.json, que permanecen en el disco incluso después de que se elimina el paquete npm. Esos archivos deben ser auditados y limpiados para eliminar el punto de apoyo del atacante.

La carga útil también instala servicios en segundo plano a nivel del sistema operativo: un servicio de usuario systemd en Linux, un LaunchAgent en macOS. Ambos ejecutan una puerta trasera llamada kitty-monitor, que sondea la búsqueda de confirmación de GitHub cada hora en busca de comandos remotos firmados. Un segundo proceso, gh-token-monitor, verifica los tokens de GitHub robados cada 60 segundos, alertando al atacante en el momento en que uno es revocado. Un atacante puede mantener el acceso y monitorear la respuesta de la víctima casi en tiempo real, mucho después de que se haya descubierto la infección original.

Múltiple empresas de seguridad han señalado qué dependencias populares están siendo atacadas. En esta ola, se ha vuelto popular el software de visualización de datos, incluidos AntV y TallyUI de código abierto de Alibaba. La campaña también abordó utilidades ampliamente utilizadas como echarts-for-react (un contenedor de React para ECharts) y timeago.js (una pequeña biblioteca de JavaScript que permite a los desarrolladores formatear marcas de tiempo).

«Incluso si solo un subconjunto de esos paquetes recibió actualizaciones maliciosas, la popularidad del ecosistema de paquetes crea una exposición significativa para las organizaciones que automáticamente obtienen nuevas versiones de dependencia». escribieron los investigadores de Socket, una empresa de seguridad de aplicaciones.

La campaña sigue activa. Debido a que el gusano se propaga utilizando tokens robados de entornos infectados, se espera que aumente el número de paquetes afectados. Los investigadores han advertido que cualquier máquina o canalización que haya instalado una versión afectada debe tratarse como totalmente comprometida.

La semana pasada, TeamPCP apuntó a otras bibliotecas de software destacadas con el malware, incluidas TanStack, UiPath y MistralAI.

Esta es una historia en desarrollo y se actualizará a medida que haya información disponible.

Los investigadores de ciberseguridad han descubierto una nueva campaña de ataque a la cadena de suministro de software que ha comprometido varios paquetes npm asociados con el ecosistema @antv como parte de la actual ola de ataques Mini Shai-Hulud.

«El ataque afecta a los paquetes vinculados a la cuenta de mantenimiento de npm, incluido echarts-for-react, un contenedor de React ampliamente utilizado para Apache ECharts con aproximadamente 1,1 millones de descargas semanales», Socket dicho.

La lista de paquetes afectados incluye paquetes @antv como @antv/g2, @antv/g6, @antv/x6, @antv/l7, @antv/s2, @antv/f2, @antv/g, @antv/g2plot, @antv/graphin y @antv/data-set, así como paquetes relacionados fuera del espacio de nombres @antv, incluidos echarts-for-react, timeago.js, sensor de tamaño, canvas-nest.js y otros.

La compañía de seguridad de aplicaciones dijo que el oficio coincide con Mini Shai-Hulud, donde se aprovecha una cuenta de mantenimiento comprometida para lanzar versiones troyanizadas en rápida sucesión.

El desarrollo se produce mientras la campaña de ataque a la cadena de suministro continúa deslizándose a través de la cadena de suministro de software, invadiendo rápidamente diferentes registros de código abierto e infectando cientos de paquetes de software al incorporar código de robo de credenciales en herramientas de desarrollo populares.

«El radio de explosión potencial es significativo porque la cuenta de publicación afectada está conectada a paquetes ampliamente utilizados en visualización de datos, gráficos, mapeo, diagramas y ecosistemas de componentes de React», dijo Socket. «Incluso si sólo un subconjunto de esos paquetes recibió actualizaciones maliciosas, la popularidad del ecosistema de paquetes crea una exposición significativa para las organizaciones que automáticamente obtienen nuevas versiones de dependencia».

Se dice que el atacante publicó 639 versiones maliciosas en 323 paquetes únicos, incluidas 558 versiones en 279 paquetes @antv únicos. La carga útil del ladrón recopila más de 20 tipos de credenciales, Amazon Web Services, Google Cloud, Microsoft Azure, GitHub, npm, SSH, Kubernetes, Vault, Stripe, cadenas de conexión de bases de datos e intenta escapar del contenedor Docker a través del socket del host. El ladrón es idéntico a la carga útil Mini Shai-Hulud utilizada en el compromiso de SAP.

Los datos recopilados finalmente se serializan, comprimen, cifran y extraen al dominio («tm-kosche[.]com:443»). Como mecanismo alternativo, el malware aprovecha el token de GitHub robado para crear un repositorio público en la cuenta de la víctima y guardar los datos en un archivo JSON.

Los repositorios presentan la descripción «niagA oG eW ereH: duluH-iahS», que se invierte en «Shai-Hulud: Here We Go Again». Al momento de escribir este artículo, hay más de 2.500 repositorios en GitHub que contiene este marcador.

Marco Shai-Hulud

«Estos repositorios se crean utilizando tokens de GitHub robados de entornos CI/CD comprometidos», StepSecurity dicho. «El gran volumen, más de dos mil repositorios, proporciona un límite inferior en la cantidad de entornos únicos cuyas credenciales fueron exfiltradas con éxito. Si su token de GitHub estaba entre los robados, el atacante lo ha utilizado para crear al menos uno de estos repositorios bajo una cuenta que controla».

Además, el malware incorpora una lógica de propagación de npm que abusa de los tokens de npm robados para validarlos primero a través de la API de registro de npm, enumera los paquetes mantenidos por el propietario del token, descarga archivos tar de paquetes, inyecta la carga útil maliciosa, agrega un gancho de preinstalación, aumenta las versiones de los paquetes y los vuelve a publicar utilizando la identidad del mantenedor comprometido.

«El ataque utiliza dos rutas de ejecución», SafeDep dicho. «Cada versión comprometida agrega un gancho de preinstalación (bun run index.js). 630 de las 631 versiones maliciosas también inyectan una entrada de Dependencias opcional [pointing to imposter commits] que entrega una segunda copia de la carga útil a través del repositorio legítimo de antvis/G2 GitHub».

«La publicación de 22 minutos en 314 paquetes (631 versiones), con una carga útil ofuscada idéntica, descarta una operación gradual o dirigida. Esta fue una exfiltración rápida y automatizada utilizando un token robado».

Se considera que la campaña autorreplicante Mini Shai-Hulud es obra de un actor de amenazas con motivación financiera llamado TeamPCP. Sin embargo, a partir de la semana pasada, la actividad entró en una nueva fase agresiva después de TeamPCP. lanzó el código fuente completo para que otros actores de amenazas lo utilicen como parte de un concurso de ataque a la cadena de suministro anunciado en asociación con BreachForums.

«La apertura de un marco ofensivo de producción no tiene precedentes, pero es inusual para una campaña activa», Datadog dicho. «Reduce la barrera para que otros actores adopten el manual de TeamPCP, incluidas las técnicas más sofisticadas como el abuso de tokens OIDC, la falsificación de procedencia y los ganchos de persistencia de herramientas de IA».

Desde entonces, un actor de amenazas desconocido ha subido cuatro paquetes npm maliciosos, uno de los cuales contiene una copia casi literal del gusano Shai-Hulud con su propia infraestructura de comando y control, una indicación de que versiones clonadas del gusano pueden infestar ecosistemas de código abierto.

Este ola imitadoraa su vez, complica los esfuerzos de atribución, mientras que los ataques continúan facilitando el robo de credenciales y abriendo la puerta a una explotación posterior. El incidente demuestra una vez más cómo se puede abusar de las herramientas comprometedoras que ya son confiables dentro de las redes empresariales como vehículos de distribución de malware. Lo que hace que la campaña sea realmente peligrosa es que un compromiso alimenta al siguiente, lo que resulta en un radio de explosión cada vez mayor a medida que se piratean más paquetes.

«Esta campaña está diseñada para el robo de credenciales a escala», Trend Micro dicho en un informe la semana pasada. «Organizaciones que utilizan GitHub Actions, PyPI, Docker Hub, GHCR [GitHub Container Registry]las extensiones de VS Code y los corredores de CI conectados a la nube están directamente expuestos a este riesgo».

Los investigadores de ciberseguridad han descubierto cuatro nuevos paquetes npm que contienen malware para robar información, uno de los cuales es un clon del gusano Shai-Hulud de código abierto de TeamPCP.

la lista de paquetes identificados está debajo –

• plantilla de tiza (825 Descargas)
• @deadcode09284814/axios-util (284 descargas)
• axois-utils (963 Descargas)
• color-style-utils (934 Descargas)

«Uno de los paquetes (chalk-tempalte) contiene un clon directo del código fuente Shai-Hulud que TeamPCP filtró la semana pasada, probablemente inspirado como parte de la competencia de ataque a la cadena de suministro que se publicó en BreachForums no mucho después», dijo Moshe Siman Tov Bustan de OX Security.

Curiosamente, las cargas útiles maliciosas integradas en los cuatro paquetes de npm son diferentes, a pesar de haber sido publicadas por el mismo usuario de npm, «código muerto09284814.» Al momento de escribir este artículo, las cuatro bibliotecas todavía están disponibles para descargar desde npm.

Un análisis de los paquetes ha revelado que «axois-utils» está diseñado para ofrecer una botnet de denegación de servicio distribuida (DDoS) basada en Golang llamada Phantom Bot, con capacidades para inundar un sitio web objetivo utilizando los protocolos HTTP, TCP y UDP. También establece persistencia en máquinas con Windows y Linux agregando la carga útil a la carpeta de Inicio de Windows y creando una tarea programada.

Los tres restantes lanzan una carga útil de ladrón en sistemas comprometidos. De los tres paquetes, el paquete «chalk-tempalte» contiene un clon del gusano Shai-Hulud lanzado por TeamPCP.

«El actor tomó el código y, casi sin ningún cambio, cargó una versión funcional con su propio servidor C2 y clave privada en npm», dijo OX Security. «Las credenciales robadas se envían al servidor C2 remoto: 87e0bbc636999b.lhr[.]vida»

Además, los datos se exportan a un nuevo repositorio público de GitHub utilizando el token de GitHub robado a través de la API. El repositorio recibe la descripción «Ha aparecido un Mini Sha1-Hulud».

Los otros dos paquetes npm, «@deadcode09284814/axios-util» y «color-style-utils», tienen una funcionalidad más sencilla que desvía claves SSH, variables de entorno, credenciales de nube, información del sistema, dirección IP y datos de billetera de criptomonedas a «80.200.28[.]28:2222» y «edcf8b03c84634.lhr[.]vida», respectivamente.

«Los actores de amenazas se están motivando aún más para llevar a cabo la cadena de suministro y la vulneración tipográfica, a medida que los ataques se vuelven más fáciles de realizar con el código Shai-Hulud convirtiéndose en fuente abierta», dijo OX Security. «Ahora estamos viendo a un solo actor con múltiples técnicas y tipos de ladrones de información difundiendo código malicioso en npm, ya que es sólo la primera fase de una próxima ola de ataques a la cadena de suministro».

Los usuarios que hayan descargado los paquetes deben desinstalarlos inmediatamente, buscar y eliminar configuraciones maliciosas de IDE y agentes de codificación como Claude Code, rotar secretos, buscar repositorios de GitHub que contengan la cadena «Ha aparecido un Mini Sha1-Hulud» y bloquear el acceso a la red a dominios sospechosos.

Una campaña de malware que se propaga rápidamente ha infectado cientos de paquetes de software en los principales registros de código abierto, incorporando código de robo de credenciales en herramientas de desarrollo descargadas millones de veces por semana.

El ataque, denominado “mini Shai-Hulud”, tuvo como objetivo bibliotecas de software destacadas, incluidas TanStack, UiPath y MistralAI. Solo el paquete React Router de TanStack representa más de 12 millones de descargas semanales, lo que coloca el código malicioso en lo más profundo de la cadena de suministro de software de las aplicaciones empresariales modernas.

En una publicación de blogTanstack dijo que los equipos de seguridad han retirado del registro todas las versiones de software comprometidas. Si bien no hay evidencia de que se hayan robado las contraseñas de registro, los expertos instan a cualquiera que haya descargado las herramientas afectadas el lunes a cambiar inmediatamente todas las credenciales de nube, servidor y desarrollador conectados, incluidos Amazon Web Services, Google Cloud y GitHub.

El incidente pone de relieve una vulnerabilidad sistémica en la publicación automatizada de software. Las actualizaciones comprometidas eludieron con éxito la autenticación de dos factores y portaron firmas de procedencia criptográficamente válidas. Estas firmas verificaron que los paquetes se originaron en las canalizaciones de integración continua correctas, pero no detectaron que las canalizaciones mismas habían sido manipuladas para autorizar código malicioso.

Los investigadores de seguridad atribuyen la campaña a TeamPCP, un grupo cibercriminal centrado en la nube que surgió a finales de 2025 y que se especializa en automatizar ataques a la cadena de suministro y explotar la infraestructura nativa de la nube, incluidos los entornos Docker y Kubernetes. El grupo, supuestamente responsable del desarrollo anterior de Shai Hulud, introduce silenciosamente su malware en actualizaciones de software confiables, lo que les permite infectar miles de empresas a la vez sin activar alarmas de seguridad.

El grupo es conocido por su capacidad avanzada para ocultar sus huellas (como disfrazar datos robados como tráfico de mensajes anónimos) y sus agresivas tácticas de extorsión, que incluyen amenazar con borrar completamente las computadoras de las víctimas si intentan eliminar el acceso de los piratas informáticos.

Los atacantes activaron el proceso de liberación automatizado mediante una «confirmación huérfana»: código enviado a una bifurcación del repositorio sin una rama correspondiente. Esto les permitió explotar permisos demasiado amplios en los flujos de trabajo de GitHub Actions. Luego, el malware se entregó a través de una dependencia oculta que obtenía una carga útil de 2,3 megabytes muy ofuscada disfrazada de módulo de inicialización.

Tras su ejecución, el malware utiliza Bun (un motor de software de alta velocidad diseñado para ejecutar JavaScript) para robar sistemáticamente claves de seguridad y contraseñas. Se dirige a la infraestructura de la nube de alto nivel, incluidos AWS, Google Cloud Platform, Kubernetes y HashiCorp Vault. El código está diseñado para infiltrarse en redes de nube de Amazon altamente seguras. Al mismo tiempo, rastrea la computadora local del desarrollador en busca de archivos secretos y claves SSH utilizadas para desbloquear otros sistemas corporativos.

Operando como un gusano autopropagante, publica copias de sí mismo en esos proyectos, falsificando su actividad para que aparezca como confirmaciones automatizadas del bot Anthropic Claude. En una medida de extorsión secundaria, el malware genera un nuevo token de registro que contiene una nota de rescate en su descripción, amenazando con un borrado destructivo de la computadora si la víctima intenta revocar el acceso comprometido.

A pesar de las propiedades del malware, los investigadores dijeron a CyberScoop que no lo han visto propagarse.

«Vimos una propagación comunitaria muy limitada», dijo Charlie Eriksen, investigador de seguridad de la firma de seguridad de aplicaciones Aikido Security.

Para mantener el acceso continuo a las estaciones de trabajo de los desarrolladores, el malware se integra en los archivos de configuración de herramientas de desarrollo populares, en particular Visual Studio Code y Claude Code de Anthropic. Esto garantiza que los scripts maliciosos se ejecuten automáticamente cada vez que un desarrollador abre un proyecto o inicia una sesión de codificación de IA.

Stephen Thoemmes, defensor senior de desarrolladores de Snyk, dijo a CyberScoop que este es un punto ciego particular para este tipo de ataques.

«Los directorios como .claude/ y .vscode/ normalmente están excluidos del control de versiones a través de .gitignore y rara vez se analizan como superficies de ataque viables», dijo Thoemmes. «Si bien estos sistemas de tareas y enlaces proporcionan una valiosa automatización para el trabajo legítimo, ofrecen un entorno de ejecución silenciosa para el código malicioso. Para contrarrestar esto, los desarrolladores deben dejar de tratar estas configuraciones locales como benignas y comenzar a aplicar la misma auditoría de seguridad rigurosa a sus directorios de herramientas como lo harían con su infraestructura de producción».

Para evitar la detección, los datos robados se extraen mediante Session, una aplicación de mensajería anónima que rebota datos a través de una red descentralizada. Al disfrazar el robo como tráfico de chat ordinario y cifrado, los piratas informáticos se mezclan con la actividad normal de la red. Esto permite a los atacantes deshacerse por completo de los servidores de «comando» tradicionales que los equipos de seguridad corporativos suelen buscar y bloquear.

El éxito de la campaña “Mini Shai-Hulud” expone un importante punto ciego en la seguridad del software: las defensas actuales verifican de dónde proviene una actualización, pero no si el código que contiene es realmente seguro. Al secuestrar los propios sistemas automatizados de los desarrolladores, los atacantes pudieron estampar su malware con firmas digitales oficiales, lo que demuestra que los atacantes pueden eludir las salvaguardias modernas simplemente utilizando las propias herramientas de una empresa en su contra.

El director ejecutivo de Socket, Feross Aboukhadijeh, dijo a CyberScoop que las organizaciones deben buscar señales de que se instaló una versión de paquete comprometida en CI/CD o entornos de desarrollador, conexiones salientes inesperadas a la infraestructura de la campaña, cambios sospechosos en los archivos de bloqueo de paquetes, publicaciones inusuales de paquetes por parte de sus propios mantenedores o sistemas de CI, y artefactos de persistencia en los directorios de herramientas de los desarrolladores.

«No existe un único interruptor centralizado para este tipo de campaña», afirmó Aboukhadjieh. «La parte difícil es que cuando se confirma un paquete malicioso, es posible que ya se haya instalado dentro de los entornos exactos que los atacantes más desean: máquinas de desarrollo y ejecutores de CI. Puede extraer un paquete del registro, pero no puede retirar automáticamente las credenciales que ya haya robado».

Si bien estos paquetes son mantenidos por voluntarios, Eriksen dijo que el incidente es un gran problema para las empresas debido a la cantidad de equipos de desarrollo que utilizan el software en sus productos y servicios.

«Esto no es una cuestión de 'voluntario' versus corporativo», dijo Eriksen a CyberScoop. «Este es un problema que afecta a toda la sociedad».

Aboukhadjieh dijo a CyberScoop que estos continuos ataques a paquetes populares de software de código abierto son parte de «un análisis más amplio sobre cómo la industria del software consume el código abierto».

«Esta campaña muestra cuán delgada se ha vuelto la línea entre una herramienta de desarrollo y una infraestructura crítica», dijo. «Cuando los atacantes comprometen herramientas que ya son confiables dentro de los sistemas de compilación, no tienen que irrumpir directamente en todas las empresas. Pueden aprovechar la confianza que esas herramientas ya tienen».