Dead Man’s Switch: El Ataque a La Cadena de Suministro de npm

La cadena de suministro de software vuelve a estar en el centro de una tormenta. Y si trabajas con JavaScript, npm o dependencias de terceros, que prácticamente incluye a todos los equipos de desarrollo, necesitas prestar atención.

Un nuevo ataque masivo, descubierto por el equipo de Vulnerability Research de GitLab, está propagando una variante avanzada y altamente destructiva del malware Shai-Hulud. Esta vez, el malware incorpora una función tipo “Dead Man’s Switch”: si los atacantes pierden control sobre su infraestructura, el código empieza a destruir datos en todos los equipos infectados.

Sí, así de extremo. Y sí, esto puede afectarte aunque solo utilices paquetes de terceros sin relación directa con los actores maliciosos.

En TecnetOne te explicamos qué está pasando y cómo puedes protegerte.

¿Qué tipo de ataque es este? Una amenaza masiva dentro del ecosistema npm

El ataque opera como una infección de cadena de suministro, uno de los vectores más temidos hoy por su capacidad de propagarse rápido y de forma silenciosa. Los actores maliciosos han logrado introducir paquetes contaminados en el ecosistema npm, donde miles de desarrolladores los descargan sin sospechar nada.

La mecánica es simple, pero efectiva:

1. Instalas un paquete npm infectado.
   
   

2. El paquete ejecuta un script que descarga un archivo de 10 MB que simula ser una versión legítima del runtime Bun.
   
   
3. Ese “runtime” es, en realidad, la nueva variante del malware Shai-Hulud.
   
   
4. El malware se instala, se oculta y comienza a robar credenciales y a infectar otros paquetes que mantienes.

Este comportamiento escalona un vector de ataque que se multiplica como un gusano.

Lo que realmente hace el malware cuando entra a tu sistema

Esta versión de Shai-Hulud está diseñada para un objetivo muy claro: expandirse, robar llaves de acceso y tener el poder de destruir datos cuando lo decidan o cuando pierdan control.

Roba credenciales de todo lo que encuentra

Una vez dentro, el malware barre tu sistema buscando:

1. Tokens de GitHub
   
   
2. Llaves de autenticación de npm
   
   
3. Credenciales de AWS, Google Cloud y Azure
   
   
4. API keys
   
   
5. Secretos guardados en archivos de configuración

Incluye un movimiento especialmente inquietante: descarga Trufflehog, una herramienta legítima que sirve para localizar claves expuestas.

En pocas palabras: usa herramientas de seguridad contra ti.

Infecta automáticamente todos tus paquetes npm

Si publicas paquetes en npm, el malware:

1. Modifica su package.json
   
2. Inyecta scripts maliciosos
   
3. Sube nuevas versiones contaminadas
   
   
4. Replica el ataque en la cadena de suministro de manera exponencial

Así, un solo desarrollador infectado puede iniciar una reacción en cadena que afecte a miles de usuarios downstream.

Construye una infraestructura botnet distribuida

Los tokens robados se envían a repositorios de GitHub controlados por los atacantes y marcados como:

“Shai1-Hulud: The Second Coming”

Estos repositorios funcionan como nodos de coordinación. Incluso si algunos caen, otros siguen funcionando, lo que da robustez al ataque.

El componente más peligroso: el “Dead Man’s Switch”

Aquí está el corazón de la amenaza.

El malware incorpora un mecanismo que monitorea si puede seguir comunicándose con:

1. Repositorios maliciosos en GitHub
   
   
2. Tokens válidos en npm

Si ambos canales dejan de estar disponibles al mismo tiempo, la respuesta es inmediata: borrar datos del sistema infectado.

Esto crea un escenario caótico:

1. Si GitHub elimina los repositorios maliciosos
   
   
2. O npm invalida los tokens comprometidos
   
   
3. Miles de equipos pueden ejecutar la autodestrucción simultáneamente

¿Qué se borra exactamente?

Depende del sistema operativo:

En Windows

1. Eliminación masiva de archivos del usuario
2. Sobrescritura de sectores del disco para impedir recuperación

En Linux y macOS

1. Uso de técnicas avanzadas de wiping
   
   
2. Eliminación irrecuperable de configuraciones, proyectos y llaves

Es decir: si estás infectado y la infraestructura cae, puedes perder todo tu entorno de desarrollo sin aviso.

Cómo se propaga tan rápido: un ataque tipo gusano potenciado por npm

Este ataque utiliza un modelo de expansión similar a un gusano:

1. Infecta a un desarrollador.
   
   
2. Infecta todos sus paquetes.
   
   
3. Los paquetes infectan a más desarrolladores.
   
   
4. Cada nuevo desarrollador infectado propaga el ataque a sus propias dependencias.

La velocidad y el alcance resultan exponenciales porque npm funciona como un ecosistema interconectado donde todos dependen de todos.

Flujos de trabajo de ataque (Fuente: Cybersecurity News)

Por qué estás en riesgo aunque nunca hayas instalado Bun

El malware se distribuye disfrazado como Bun, pero no necesitas usar Bun para infectarte.

Basta con:

1. Instalar un paquete contaminado
   
   
2. Ejecutar un build automático
   
   
3. Instalar dependencias en CI/CD
   
   
4. Usar npm install en local sin revisar scripts pre/post-install

Nadie revisa manualmente los binarios de 10 MB que descarga npm durante las instalaciones. Esa es la debilidad que explotan.

Qué puedes hacer desde ya para proteger tus proyectos

Desde TecnetOne te recomendamos tomar medidas inmediatas si trabajas con JavaScript o administras repositorios npm.

Habilita sistemas de Dependency Scanning

GitLab sugiere usar sus propias funciones de análisis automático, pero lo importante es que uses alguna herramienta que detecte paquetes manipulados antes de que lleguen a producción.

Revisa scripts sospechosos en dependencias

Pon especial atención a:

1. preinstall
   
   
2. install
   
   
3. Postinstall

Ningún paquete debería descargar binarios externos sin justificación.

Supervisa incrementos inusuales de versión

Cambios de versión sin notas, sin commits o sin actividad del mantenedor original son un indicador claro de compromiso.

Revoca tokens expuestos

Si sospechas infección:

1. Revoca tokens de npm
   
   
2. Revoca tokens de GitHub
   
   
3. Elimina claves de acceso a nubes públicas

Aisla estaciones de trabajo donde desarrollas

Evita que tus credenciales corporativas de AWS o GitHub estén accesibles desde máquinas no seguras.

Implementa políticas Zero Trust en tu pipeline

No asumas que un paquete es seguro solo porque es popular o porque lo has usado siempre.

Conclusión: el ataque npm más peligroso en años

Este ataque combina:

1. Robo masivo de credenciales
   
   
2. Propagación tipo gusano
   
   
3. Manipulación automática de paquetes npm
   
   
4. Exfiltración hacia GitHub
   
   
5. Un mecanismo destructivo que puede borrar máquinas enteras

Es, sin exagerar, uno de los ataques a la cadena de suministro más peligrosos que hemos visto en los últimos años.

Si usas npm, dependencias externas o pipelines automatizados, estás en la primera línea de riesgo.

En TecnetOne insistimos en algo fundamental: ya no basta con revisar dependencias, hay que monitorear su comportamiento. El ecosistema JavaScript es demasiado grande, complejo y propenso a ataques como este.

La mejor defensa empieza por estar al tanto y actuar rápido.