- Un ataque coordinado a la cadena de suministro vinculado a la operación Shai-Hulud de TimPCP expuso más de 600 paquetes npm maliciosos
- Los atacantes comprometieron ecosistemas como TanStack, Mistral y NTV, introdujeron InfoStellar y procesos de persistencia en entornos de desarrolladores.
- Se recomienda a los desarrolladores que vuelvan a una versión segura publicada antes del 18 de mayo y roten los certificados expuestos.
Los ciberdelincuentes liberaron más de 600 paquetes maliciosos en el registro de NPM en un ataque coordinado a la cadena de suministro de software vinculado a la campaña Shai-Hulud.
Varias organizaciones de seguridad, incluido Socket, confirmaron que el 19 de mayo de 2026, en solo una hora, actores maliciosos lograron publicar 639 versiones de 323 paquetes únicos en npm, para desarrolladores de software, mantenedores de código abierto, organizaciones que ejecutan canalizaciones de CI/CD y todos los demás que descargaron paquetes comprometidos o confiaron en ellos.
Shai-Hulud es una campaña de malware llevada a cabo por un actor de amenazas conocido como TimPCP. Al robar las credenciales de inicio de sesión y los tokens de acceso, los malhechores acceden a paquetes legítimos y los actualizan para impulsar el malware InfoStellar, secuestrar credenciales y comprometer los entornos de CI/CD.
Principales riesgos posteriores
Hasta ahora, TeamPCP ha comprometido una cantidad no revelada de paquetes npm, pero sabemos que al menos algunos de ellos provienen de ecosistemas relacionados con TanStack y Mistral, una de las empresas de OpenAI que la campaña de Shai-Hulud confirmó que sufrió.
En el último ataque, los actores de amenazas se dirigieron al ecosistema NTV, donde posteriormente se crearon automáticamente miles de repositorios de GitHub utilizando credenciales robadas. La campaña introdujo firmas de procedencia de paquetes de apariencia falsa y nuevos métodos de persistencia dirigidos a entornos VS Code y Cloud Code.
El informe no dice cuántas veces se descargaron realmente las versiones de los paquetes maliciosos, pero sí enfatiza la popularidad natural de algunos de los paquetes afectados. Por ejemplo, el paquete jest-canvas-mock recibe alrededor de 10 millones de descargas mensuales, lo que sugiere que la superficie de ataque es extremadamente grande.
Los investigadores de seguridad enfatizan que aún no se conoce el impacto total de la campaña, principalmente porque no sabemos el número de infecciones posteriores. Sin embargo, este tipo de ataque a la cadena de suministro puede ser particularmente peligroso, ya que una sola cuenta de mantenedor comprometida puede afectar miles de proyectos mediante actualizaciones automáticas de paquetes.
Los desarrolladores que descargaron paquetes infectados deben eliminar o revertir las versiones seguras publicadas antes del 18 de mayo, así como potencialmente rotar los certificados publicados.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
