SlowMist advierte de que el ataque a la cadena de suministro Shai-Hulud 3.0 ha regresado

La firma de ciberseguridad SlowMist ha emitido una nueva advertencia tras detectar el regreso del ataque a la cadena de suministro Shai-Hulud, ahora identificado como versión 3.0. El aviso llegó de su director de seguridad de la información (CISO), conocido como 23pds, quien instó a los equipos y plataformas Web3 a reforzar de inmediato sus defensas. Según la alerta, la última variante apunta al ecosistema NPM, un gestor de paquetes ampliamente utilizado en el desarrollo de software moderno.

Los ataques a la cadena de suministro de este tipo permiten que código malicioso se propague a través de bibliotecas de código abierto de confianza, a menudo sin que los desarrolladores lo adviertan. Como resultado, incluso infecciones pequeñas pueden escalar con rapidez en múltiples proyectos. SlowMist señaló que incidentes anteriores, incluida una filtración pasada de claves API vinculada a Trust Wallet, podrían haberse originado en una versión previa de Shai-Hulud. La reaparición del malware alimenta la preocupación de que los atacantes estén afinando y reimplementando técnicas ya probadas.

Qué hace diferente a Shai-Hulud 3.0

Investigadores en seguridad señalan que Shai-Hulud 3.0 presenta cambios técnicos claros frente a versiones anteriores. Análisis de investigadores independientes indican que el malware ahora utiliza nombres de archivo distintos. También ha modificado las estructuras de carga útil y ha mejorado la compatibilidad entre sistemas operativos. Según los informes, la nueva cepa elimina un anterior “interruptor de hombre muerto”, una función que podía desactivar el malware bajo ciertas condiciones. Aunque esta eliminación reduce algunos riesgos, también sugiere que los atacantes están simplificando la ejecución para evitar la detección.

Los investigadores también observaron que el malware parece estar ofuscado a partir del código fuente original, en lugar de haber sido copiado directamente. Este detalle apunta a un acceso a materiales de ataques previos y sugiere un actor de amenazas más sofisticado. Los primeros hallazgos indican una propagación limitada hasta ahora, lo que implica que los atacantes podrían estar aún probando la carga útil.

Investigadores analizan paquetes NPM activos

El investigador independiente en seguridad Charlie Eriksen confirmó que su equipo está investigando activamente la nueva cepa. Según divulgaciones públicas, el malware fue detectado dentro de un paquete NPM específico, lo que activó una revisión más profunda de las dependencias relacionadas. La investigación muestra que el malware intenta extraer variables de entorno, credenciales en la nube y archivos secretos, y luego subir estos datos a repositorios controlados por los atacantes. Estas técnicas son coherentes con ataques Shai-Hulud anteriores, pero muestran una secuenciación y gestión de errores más refinadas. Por ahora, los investigadores aseguran que no hay pruebas de una comprometida a gran escala. No obstante, advierten de que los ataques a la cadena de suministro suelen expandirse rápidamente una vez que los atacantes confirman la estabilidad.

La industria, instada a reforzar la seguridad de las dependencias

SlowMist ha recomendado a los equipos de proyectos auditar dependencias, fijar versiones de paquetes y vigilar comportamientos anómalos de red. También anima a los desarrolladores a revisar los pipelines de compilación y a limitar el acceso a credenciales sensibles. La firma subrayó que las amenazas a la cadena de suministro siguen siendo uno de los riesgos más infravalorados en Web3 y en el software de código abierto. Incluso plataformas bien aseguradas pueden quedar expuestas a través de bibliotecas de terceros. Mientras continúan las investigaciones, los expertos en seguridad recomiendan cautela en lugar de pánico. Aun así, coinciden en que Shai-Hulud 3.0 es un recordatorio claro de que las cadenas de suministro de software siguen siendo un objetivo de alto valor.