Un gusano malicioso compromete dominios de criptomonedas en un ataque a la cadena de suministro

El 24 de noviembre, la firma de seguridad Aikido detectó una segunda ola del gusano autorreplicante Shai-Hulud en npm, comprometiendo 492 paquetes con un total combinado de 132 millones de descargas mensuales.

El ataque afectó a ecosistemas principales, incluyendo AsyncAPI, PostHog, Postman, Zapier y ENS, aprovechando las últimas semanas antes de la fecha límite del 9 de diciembre de npm para revocar los tokens de autenticación heredados.

La cola de triaje de Aikido marcó la intrusión alrededor de las 3:16 AM UTC, cuando versiones maliciosas de go-template de AsyncAPI y 36 paquetes relacionados comenzaron a propagarse por el registro.

El atacante etiquetó los repositorios de credenciales robadas con la descripción “Sha1-Hulud: The Second Coming”, manteniendo la marca teatral de la campaña de septiembre.

El gusano instala el entorno de ejecución Bun durante la configuración del paquete y luego ejecuta un código malicioso que busca secretos expuestos en los entornos de los desarrolladores utilizando TruffleHog.

Las claves API, tokens de GitHub y credenciales de npm comprometidos se publican en repositorios públicos con nombres aleatorios, y el malware intenta propagarse publicando nuevas versiones infectadas en hasta 100 paquetes adicionales, cinco veces la escala del ataque de septiembre.

Evolución técnica y carga destructiva

La iteración de noviembre introduce varias modificaciones respecto al ataque de septiembre.
El malware ahora crea repositorios con nombres generados aleatoriamente para los datos robados en lugar de usar nombres codificados, lo que complica los esfuerzos de eliminación.

El código de configuración instala Bun a través de setup_bun.js antes de ejecutar la carga principal en bun_environment.js, que contiene la lógica del gusano y las rutinas de exfiltración de credenciales.

La adición más destructiva: si el malware no puede autenticarse con GitHub o npm usando las credenciales robadas, borra todos los archivos en el directorio home del usuario.

El análisis de Aikido reveló errores de ejecución que limitaron la propagación del ataque. El código de empaquetado que copia el gusano completo en nuevos paquetes a veces no incluye bun_environment.js, dejando solo el script de instalación de Bun sin la carga maliciosa.

A pesar de estos fallos, los compromisos iniciales afectaron a objetivos de alto valor con una exposición masiva aguas abajo.

Los paquetes de AsyncAPI dominaron la primera ola, con 36 versiones comprometidas incluyendo @asyncapi/cli, @asyncapi/parser y @asyncapi/generator.

PostHog siguió a las 4:11 AM UTC, con versiones infectadas de posthog-js, posthog-node y docenas de plugins. Los paquetes de Postman llegaron a las 5:09 AM UTC.

El compromiso de Zapier afectó a @zapier/zapier-sdk, zapier-platform-cli y zapier-platform-core, mientras que el compromiso de ENS afectó a @ensdomains/ensjs, @ensdomains/ens-contracts y ethereum-ens.

La creación de ramas en GitHub sugiere acceso a nivel de repositorio

El equipo de AsyncAPI descubrió una rama maliciosa en su repositorio CLI creada inmediatamente antes de que los paquetes comprometidos aparecieran en npm.

La rama contenía una versión desplegada del malware Shai-Hulud, lo que indica que el atacante obtuvo acceso de escritura al propio repositorio en lugar de simplemente secuestrar tokens de npm.

Esta escalada refleja la técnica utilizada en el compromiso original de Nx, en el que los atacantes modificaron los repositorios fuente para inyectar código malicioso en las canalizaciones de compilación legítimas.

Aikido estima que ahora 26.300 repositorios de GitHub contienen credenciales robadas marcadas con la descripción “Sha1-Hulud: The Second Coming”.

Los repositorios contienen secretos expuestos por entornos de desarrolladores que ejecutaron los paquetes comprometidos, incluyendo credenciales de servicios en la nube, tokens de CI/CD y claves de autenticación para APIs de terceros.

La naturaleza pública de las filtraciones amplifica el daño: cualquier atacante que monitorice los repositorios puede recolectar credenciales en tiempo real y lanzar ataques secundarios.

Momento del ataque y mitigación

El momento coincide con el anuncio de npm del 15 de noviembre de que revocará los tokens de autenticación clásicos el 9 de diciembre.

La decisión del atacante de lanzar una última campaña a gran escala antes de la fecha límite sugiere que reconocieron que la ventana para compromisos basados en tokens se estaba cerrando. La cronología de Aikido muestra que la primera ola de Shai-Hulud comenzó el 16 de septiembre.

El “Second Coming” del 24 de noviembre representa la última oportunidad del atacante para explotar tokens heredados antes de que la migración de npm corte ese acceso.

Aikido recomienda que los equipos de seguridad auditen todas las dependencias de los ecosistemas afectados, particularmente los paquetes de Zapier, ENS, AsyncAPI, PostHog y Postman instalados o actualizados después del 24 de noviembre.

Las organizaciones deben rotar todas las credenciales de GitHub, npm, la nube y CI/CD utilizadas en entornos donde estuvieron presentes estos paquetes, y buscar en GitHub repositorios con la descripción “Sha1-Hulud: The Second Coming” para determinar si se expusieron credenciales internas.

Deshabilitar los scripts postinstall de npm en las canalizaciones de CI previene la ejecución futura en tiempo de instalación, y fijar las versiones de los paquetes con archivos lock limita la exposición a nuevas versiones comprometidas.

La publicación Malicious worm compromises crypto domains in supply-chain attack apareció primero en CryptoSlate.