Cryptonews

El gusano Mini Shai-Hulud secuestra paquetes de 323 npm en menos de 30 minutos a través de una única cuenta robada

Source
CryptoNewsTrend
Published
El gusano Mini Shai-Hulud secuestra paquetes de 323 npm en menos de 30 minutos a través de una única cuenta robada

El 19 de mayo, el gusano Mini Shai-Hulud comprometió una cuenta de mantenedor de npm e impulsó 639 versiones maliciosas en 323 paquetes en menos de 30 minutos.

La cuenta comprometida, "atool" (i@hust.cc), publica toda la pila de visualización de datos @antv de Alibaba junto con bibliotecas independientes utilizadas en paneles criptográficos, interfaces DeFi y aplicaciones fintech.

Los objetivos de mayor tráfico: size-sensor con 4,2 millones de descargas semanales, echarts-for-react con 1,1 millones, @antv/scale con 2,2 millones y timeago.js con 1,15 millones.

Los proyectos que usan rangos de semver como ^3.0.6 para echarts-for-react se resuelven automáticamente a la versión maliciosa 3.2.7 en la siguiente instalación limpia. El mantenedor cerró las advertencias de seguridad de GitHub en una hora, enterrándolas en problemas cerrados.

Qué roba la carga útil y cómo persiste

El malware recopila más de 20 tipos de credenciales: claves de AWS a través de metadatos EC2 y ECS, tokens de Google Cloud y Azure, tokens de GitHub y npm, claves SSH, cuentas de servicio de Kubernetes, secretos de HashiCorp Vault, claves API de Stripe, cadenas de conexión de bases de datos y bóvedas de contraseñas locales de 1Password y Bitwarden, según Socket.dev.

La exfiltración se realiza a través de dos canales. Las credenciales robadas se cifran con AES-256-GCM y se envían a un servidor de comando y control.

Como alternativa, el gusano utiliza tokens de GitHub comprometidos para crear repositorios públicos con nombres temáticos de Dune como sardaukar-melange-742 o fremen-sandworm-315, y luego confirma los datos robados como archivos. StepSecurity informó que más de 2500 repositorios de GitHub ya contienen indicadores vinculados a la campaña.

Además, el gusano utiliza cifrado de los datos robados en los rastros de OpenTelemetry transferidos a través de HTTPS. En máquinas basadas en Linux, configura un servicio de usuario systemd que es capaz de recuperar instrucciones de GitHub incluso después de que se haya eliminado el paquete.

El gusano modifica los archivos de configuración .vscode y .claude para asegurar la reactivación en entornos de desarrollo.

La campaña sigue creciendo

Esta es la tercera ola. Como informó Cryptopolitan en enero, la variante original Shai-Hulud afectó a los paquetes npm de Trust Wallet y causó pérdidas de 8,5 millones de dólares. La segunda ola afectó a Mistral AI, TanStack, UiPath y Guardrails AI el 11 de mayo.

Socket ha podido identificar 1055 versiones comprometidas en total dentro de 502 paquetes distintos a través de npm, PyPI y Composer.

El grupo de amenazas detrás de la campaña, TeamPCP, ha promocionado sus herramientas en foros clandestinos de piratería, según los investigadores de Datadog. Han surgido versiones imitadoras que utilizan diferentes servidores de comando y control, lo que dificulta la atribución.

23pds, director ejecutivo de SlowMist, dijo que cualquier entorno que instale versiones afectadas debe tratarse como totalmente comprometido.

Algunas acciones recomendadas incluyen revocar todos los tokens de acceso, rotar las credenciales para AWS, GitHub, npm y proveedores de nube, implementar autenticación multifactor para la publicación de cuentas y revisar cualquier actividad sospechosa dentro de los repositorios.