Ciberataque masivo de malware afecta a cientos de paquetes JavaScript, incluidos populares proyectos cripto

Un nuevo ataque a la plataforma JavaScript NPM ha infectado cientos de paquetes de software con un malware tipo gusano que se autorreplica. Una investigación de la firma de ciberseguridad Aikido Security revela que tanto proyectos de software generales como paquetes del ecosistema cripto se han visto afectados.

Más de 400 paquetes infectados detectados

El investigador en ciberseguridad Charlie Eriksen identificó más de 400 paquetes infectados con el llamado gusano Shai Hulud. Este malware se propaga automáticamente en cuanto se instala un paquete comprometido y puede recopilar datos sensibles, como códigos de acceso y credenciales de inicio de sesión. Muchos de los paquetes afectados se descargan decenas de miles de veces por semana, lo que multiplica el impacto.

El proyecto cripto Ethereum Name Service, duramente golpeado

Una gran parte de las infecciones afecta a paquetes utilizados por proyectos cripto, entre ellos Ethereum Name Service (ENS). Este proyecto funciona como una especie de agenda para crypto-wallets y depende de paquetes muy extendidos como content-hash, ensjs y address-encoder. En conjunto, estos superan las 100.000 descargas semanales. También el paquete relacionado con cripto crypto-addr-codec, independiente de ENS, ha resultado comprometido.

Qué hace exactamente el malware

A diferencia de ataques anteriores centrados en robar criptomonedas, el gusano Shai Hulud actúa de otra manera. El malware puede:

• recopilar credenciales de acceso y otra información sensible
• propagarse a otros sistemas
• exponer archivos privados y configuraciones

Según Slava Demchuk, CEO de la firma de análisis forense cripto AMLBot, el gusano recoge todo lo que se almacena como secreto dentro de un entorno de desarrollo. Aunque por ahora no se han reportado robos de claves de wallets, se consideran de riesgo todos los sistemas que hayan utilizado un paquete infectado.

No solo cripto: también grandes empresas afectadas

Además de proyectos cripto, también se han visto comprometidos diversos paquetes ajenos al sector. Entre las librerías afectadas se encuentran módulos de la plataforma de automatización Zapier, algunos de los cuales registran más de 40.000 descargas semanales. Incluso se ha detectado al menos un paquete infectado con más de 1,5 millones de descargas a la semana.

El número de repositorios infectados se dispara

La empresa de ciberseguridad Wiz informa de que ya ha detectado más de 25.000 repositorios comprometidos. La ola de contagios crece con rapidez: cada media hora aparecen aproximadamente 1.000 nuevos repositorios infectados. La compañía aconseja a desarrolladores y organizaciones revisar sus sistemas de inmediato y eliminar o sustituir lo antes posible los paquetes comprometidos.