Shai-hulud 2.0 es un gusano autorreplicante avanzado que amplía su alcance desde npm hacia GitHub y los principales entornos cloud.
Incorpora capacidades de robo de credenciales (AWS, GCP, Azure, GitHub, npm), extracción de secretos mediante los servicios nativos de gestión (Secrets Manager, Secret Manager, Key Vault) y apunta también a Azure Pod Identity. Puede abrir puertas traseras, republicar paquetes maliciosos y emplea un módulo destructivo que borra datos si no puede exfiltrarlos.
Su comportamiento autónomo y orientado a datos lo convierte en una amenaza crítica para la cadena de suministro de software.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
El ataque inicia con un correo de phishing suplantando una alerta de seguridad de npm, donde el atacante obtiene las credenciales del desarrollador. Con ellas, compromete su cuenta de npm, envenena paquetes y se autentica en GitHub para contaminar aún más repositorios. A continuación, instala TruffleHog para extraer secretos adicionales, hace públicos los repositorios robados y exfiltra datos a través de solicitudes automatizadas. Luego continúa su propagación infectando proyectos y desarrolladores dependientes mediante la instalación de paquetes contaminados.
En fases posteriores, el gusano recopila variables de entorno y credenciales en la nube, utiliza estas para acceder a los gestores de secretos de AWS, GCP y Azure, y continúa robando información sensible. Este flujo de ataque combina phishing, escalamiento mediante envenenamiento de paquetes, exfiltración continua y explotación de credenciales cloud, permitiendo que Shai-hulud 2.0 se expanda a lo largo de toda la cadena de suministro y mantenga su capacidad dañina.
