Investigadores detectan variante modificada del gusano Shai-Hulud probando payload en registro npm

Especialistas en ciberseguridad identificaron una nueva variante del gusano auto-replicante Shai-Hulud que actualmente prueba payloads maliciosos en el registro npm, elevando el riesgo para la cadena de suministro de software JavaScript a nivel global. El hallazgo, registrado a finales de diciembre de 2025, corresponde a la tercera iteración de una campaña activa desde septiembre, que ya había comprometido más de 700 paquetes, incluidos proyectos ampliamente utilizados y dependencias asociadas incluso a proveedores de ciberseguridad.

El malware, cuyo nombre hace referencia al gusano de arena del universo Dune, opera como un worm de más de 3 MB que inyecta scripts post-instalación en paquetes legítimos. Su objetivo principal es robar credenciales de entornos de desarrollo y despliegue, incluyendo accesos a npm, GitHub, pipelines de CI/CD y claves de servicios en la nube, apoyándose en herramientas automatizadas de escaneo de secretos.

Comportamiento de la variante modificada

La nueva versión observada introduce un enfoque más cauteloso y experimental: prueba payloads en repositorios públicos, como el denominado “Shai-Hulud: The Second Coming”, antes de ampliar la propagación. En esta fase, el gusano exfiltra secretos codificados y utiliza GitHub Actions como mecanismo de persistencia, asegurando ejecución recurrente dentro de los pipelines comprometidos.

Investigadores señalan que esta técnica permite al atacante validar cargas maliciosas en entornos reales, reduciendo errores antes de un despliegue masivo.

Mecanismo de propagación

El análisis técnico identifica un modelo de expansión altamente agresivo:

• Compromiso de cuentas de mantenedores legítimos, que luego publican versiones troyanizadas de sus propios paquetes.

• Creación de workflows maliciosos (por ejemplo, shai-hulud.yaml) que exfiltran secretos en cada ejecución de CI/CD.

• Escaneo automático de los 20 paquetes más populares por víctima, infectándolos de forma encadenada y logrando propagación exponencial en cuestión de horas.

Durante la segunda ola, en noviembre, el malware reutilizó repositorios públicos para almacenar credenciales robadas, impactando no solo npm, sino también otros ecosistemas como Homebrew, ampliando el radio de exposición.

Implicaciones y respuesta del ecosistema

Tras los incidentes previos, organismos como la Cybersecurity and Infrastructure Security Agency (CISA) y GitHub reforzaron medidas de seguridad, incluyendo tokens granulares en npm y esquemas de publicación confiable. Sin embargo, esta nueva fase indica que los atacantes continúan iterando activamente sus herramientas.

Para desarrolladores y equipos DevSecOps, las recomendaciones inmediatas incluyen:

• Auditar dependencias y verificar versiones recientes de paquetes críticos.

• Rotar tokens y credenciales expuestas en repositorios o pipelines.

• Revisar workflows de CI/CD en busca de archivos o ejecuciones sospechosas.

• Integrar escaneo automatizado de secretos y comportamiento en el ciclo de desarrollo.

La prueba de payloads sugiere una preparación activa para una cuarta ola, reforzando la necesidad de capacidades de detección proactiva apoyadas en IA dentro de SOC, especialmente en entornos de desarrollo distribuidos.