Una segunda oleada de ataques Sha1-Hulud ha comprometido más de 25.000 paquetes npm, poniendo en peligro datos sensibles y la integridad de los entornos de desarrollo.
El método es sofisticado, combina técnicas de exfiltración y destrucción, y exige respuestas inmediatas del sector.

Ilustración conceptual de un entorno de desarrollo infectado por scripts maliciosos en npm y GitHub.

La comunidad de desarrollo de software ha vuelto a verse sacudida tras descubrirse una nueva campaña de ataque masivo sobre el ecosistema npm, que ha dejado más de 25.000 paquetes comprometidos. Esta campaña, bautizada como Sha1-Hulud, explota el ciclo de vida de instalación de paquetes para infiltrar código malicioso y abrir, así, la puerta a ataques de gran alcance sobre entornos de trabajo y repositorios de código fuente.

El ataque Sha1-Hulud utiliza scripts de preinstalación insertados en paquetes de npm comprometidos. Durante la instalación, estos ejecutan comandos automatizados que registran la máquina víctima como runner de GitHub llamado «SHA1HULUD». El código malicioso escanea el sistema con TruffleHog para buscar credenciales y secretos, intentando exfiltrar esta información a repositorios privados controlados por los atacantes. Si los scripts no logran acceder a credenciales válidas –por ejemplo, tokens de GitHub o npm–, activan un mecanismo de destrucción que puede eliminar el directorio principal del usuario, causando potencial pérdida de datos.

Este vector de ataque afecta tanto a las plataformas de distribución de software (npm) como a cualquier máquina de desarrollo que descargue un paquete comprometido, exponiendo claves, tokens y archivos sensibles. Además, la posibilidad de borrado de directorios críticos supone un enorme riesgo de interrupción de la actividad de desarrolladores y empresas tecnológicas. También está en juego la integridad de la cadena de suministro de software, ya que un paquete malicioso se puede propagar rápidamente por dependencias transitivas. Las organizaciones afectadas pueden ver comprometidos datos internos o credenciales de acceso a otros sistemas, facilitando ataques aún más graves.

Como primera línea de defensa, se recomienda auditar y monitorizar activamente los repositorios npm y sistemas de integración continua en busca de archivos sospechosos (como setup_bun.js, bun_environment.js, discussion.yaml) y runners registrados como SHA1HULUD.

Es fundamental implementar rotación frecuente de credenciales, restringir la ejecución de scripts desconocidos y aplicar doble autenticación y alertas de actividad anómala para todos los tokens y cuentas de mantenedor. Eliminar inmediatamente los paquetes comprometidos y utilizar soluciones EDR para supervisar comportamientos inusuales reduce drásticamente los riesgos.

Más información