SlowMist advierte que el ataque a la cadena de suministro de Shai-Hulud 3.0 ha regresado

La firma de ciberseguridad SlowMist ha emitido una nueva advertencia. Tras detectar el regreso del ataque a la cadena de suministro Shai-Hulud, ahora etiquetado como versión 3.0. La alerta provino del Director de Seguridad de la Información de SlowMist, conocido como 23pds, quien instó a los equipos y plataformas Web3 a fortalecer sus defensas de inmediato. Según la advertencia, la última variante apunta al ecosistema NPM. Un gestor de paquetes ampliamente utilizado en el desarrollo de software moderno.

Los ataques a la cadena de suministro de este tipo permiten que el código malicioso se propague a través de bibliotecas de código abierto confiables. A menudo, sin que los desarrolladores se den cuenta. Como resultado, incluso infecciones pequeñas pueden escalar rápidamente a través de múltiples proyectos. SlowMist señaló que incidentes anteriores, incluido una filtración de claves API vinculada a Trust Wallet, podrían haberse originado en una versión anterior de Shai-Hulud. La reaparición del malware genera preocupaciones de que los atacantes están perfeccionando y redeployando técnicas probadas.

Qué Hace Diferente a Shai-Hulud 3.0

Los investigadores de seguridad dicen que Shai-Hulud 3.0 muestra cambios técnicos claros en comparación con versiones anteriores. El análisis de investigadores independientes indica que el malware ahora usa nombres de archivos diferentes. También modificó las estructuras de carga útil y mejoró la compatibilidad en distintos sistemas operativos. La nueva cepa supuestamente elimina un “interruptor de muerto” anterior, una función que podría desactivar el malware bajo ciertas condiciones. Aunque esta eliminación reduce algunos riesgos, también sugiere que los atacantes están simplificando la ejecución para evitar la detección.

Los investigadores también observaron que el malware parece estar ofuscado desde el código fuente original en lugar de copiarse directamente. Este detalle sugiere acceso a materiales de ataques previos y apunta a un actor de amenazas más sofisticado. Los primeros hallazgos indican una propagación limitada hasta ahora, lo que implica que los atacantes aún están probando la carga útil.

Investigaciones en Curso sobre Paquetes NPM Activos

El investigador de seguridad independiente Charlie Eriksen confirmó que su equipo está investigando activamente la nueva cepa. Según divulgaciones públicas, el malware fue detectado dentro de un paquete NPM específico. Esto ha provocado una revisión más profunda de las dependencias relacionadas. La investigación muestra que el malware intenta extraer variables de entorno, credenciales en la nube y archivos secretos. Luego, sube estos datos a repositorios controlados por los atacantes. Estas técnicas son coherentes con ataques anteriores de Shai-Hulud, pero muestran una secuenciación y manejo de errores más refinados. Actualmente, los investigadores dicen que no hay evidencia de un compromiso a gran escala. Sin embargo, advierten que los ataques a la cadena de suministro suelen expandirse rápidamente una vez que los atacantes confirman la estabilidad.

La Industria Urgida a Reforzar la Seguridad en las Dependencias

SlowMist ha aconsejado a los equipos de proyectos que auditen las dependencias, bloqueen las versiones de los paquetes y monitoreen comportamientos anormales en la red. También se recomienda a los desarrolladores revisar las pipelines de construcción y limitar el acceso a credenciales sensibles. La firma enfatizó que las amenazas a la cadena de suministro siguen siendo uno de los riesgos más subestimados en Web3 y en el software de código abierto. Incluso plataformas bien aseguradas pueden quedar expuestas a través de bibliotecas de terceros. A medida que continúan las investigaciones, los expertos en seguridad recomiendan precaución en lugar de pánico. Sin embargo, coinciden en que Shai-Hulud 3.0 sirve como un recordatorio de que las cadenas de suministro de software siguen siendo un objetivo de alto valor.