{"id":158944,"date":"2025-11-25T09:26:37","date_gmt":"2025-11-25T17:26:37","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=158944"},"modified":"2025-12-04T06:52:56","modified_gmt":"2025-12-04T14:52:56","slug":"npm-supply-chain-attack","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/","title":{"rendered":"El gusano \u201cShai-Hulud\u201d compromete el ecosistema npm en un ataque a la cadena de suministro (Actualizado el 26 de noviembre)"},"content":{"rendered":"<h2><a id=\"post-158944-_heading=h.f5g7xcln5gc9\"><\/a>Resumen ejecutivo<\/h2>\n<h3><b>Actualizaci\u00f3n: 25 de noviembre de 2025<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Los investigadores de Unit 42 investigaron un compromiso renovado centrado en npm en una campa\u00f1a denominada Shai-Hulud 2.0. Esto se report\u00f3 por primera vez a principios de noviembre de 2025. La campa\u00f1a actual tiene un alcance significativamente mayor, afectando a decenas de miles de repositorios de GitHub. Esto incluye m\u00e1s de 25,000 repositorios maliciosos a trav\u00e9s de unos 350 usuarios \u00fanicos.<\/span><\/p>\n<h4><b>Diferencias notables en las campa\u00f1as de noviembre<\/b><\/h4>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">La ejecuci\u00f3n durante la preinstalaci\u00f3n ampli\u00f3 dr\u00e1sticamente el \u00e1rea de impacto.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Esta campa\u00f1a introdujo un mecanismo de reserva (fallback) mucho m\u00e1s agresivo, el cual podr\u00eda intentar destruir el directorio <\/span><i><span style=\"font-weight: 400;\">home<\/span><\/i><span style=\"font-weight: 400;\"> del usuario.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Los nuevos archivos de carga \u00fatil (<\/span><i><span style=\"font-weight: 400;\">payload<\/span><\/i><span style=\"font-weight: 400;\">) se llaman <\/span><span style=\"font-weight: 400;\">setup_bun.js<\/span><span style=\"font-weight: 400;\"> y <\/span><span style=\"font-weight: 400;\">bun_environment.js<\/span><span style=\"font-weight: 400;\">.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Las credenciales y secretos robados se exfiltran a repositorios p\u00fablicos de GitHub con la descripci\u00f3n del repositorio: \u201cSha1-Hulud: The Second Coming\u201d (Sha1-Hulud: La segunda venida).<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">La campa\u00f1a Shai-Hulud 2.0 representa una escalada agresiva en los ataques a la cadena de suministro de software, yendo m\u00e1s all\u00e1 de los m\u00e9todos de su predecesor al cambiar el punto de infecci\u00f3n. Al apuntar a la fase de preinstalaci\u00f3n de las dependencias de software, el malware logra dos avances significativos:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Elimina por completo la necesidad de interacci\u00f3n humana, garantizando la ejecuci\u00f3n en pr\u00e1cticamente todos los servidores de compilaci\u00f3n (<\/span><i><span style=\"font-weight: 400;\">build servers<\/span><\/i><span style=\"font-weight: 400;\">) que procesen el paquete infectado.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Evade eficazmente las herramientas de escaneo est\u00e1tico que inspeccionan el c\u00f3digo durante etapas posteriores de la compilaci\u00f3n.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Si bien esta amenaza todav\u00eda se enfoca en robar credenciales de la nube de alto valor, tambi\u00e9n puede paralizar todo el pipeline de CI\/CD de una empresa. Esto podr\u00eda interrumpir el desarrollo y potencialmente bloquear los sistemas internos, escalando el ataque de un simple espionaje a un evento de denegaci\u00f3n de servicio altamente disruptivo.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Lee la secci\u00f3n \"Alcance actual del ataque\" para obtener m\u00e1s detalles t\u00e9cnicos.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">En septiembre, Unit 42 investig\u00f3 el novedoso gusano de autorreplicaci\u00f3n como \"Shai-Hulud\", responsable del compromiso de cientos de paquetes de software.<\/span><\/p>\n<p>Este ataque representa una evoluci\u00f3n significativa en las amenazas a la cadena de suministro, aprovechando la propagaci\u00f3n automatizada para alcanzar escala. Unit\u00a042 tambi\u00e9n eval\u00faa con una confianza moderada que se utiliz\u00f3 un LLM para generar el script bash malicioso, bas\u00e1ndose en la inclusi\u00f3n de comentarios y emojis.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos contra este ataque y reciben mitigaci\u00f3n para algunos de sus aspectos a trav\u00e9s de varios productos y servicios, entre los que se incluyen:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/Cortex+CLOUD\">Cortex Cloud<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/cloud\" target=\"_blank\" rel=\"noopener\">Prisma Cloud<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> con <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<\/ul>\n<p>El equipo de <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">respuesta ante incidentes de Unit\u00a042<\/a> tambi\u00e9n puede involucrarse para ayudar con una intrusi\u00f3n o para proporcionar una evaluaci\u00f3n proactiva que permita reducir el riesgo.<\/p>\n<table style=\"width: 99.3101%;\">\n<thead>\n<tr style=\"height: 24px;\">\n<td style=\"width: 35%; height: 24px;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 168.365%; height: 24px;\"><strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/supply-chain-es-la\/\" target=\"_blank\" rel=\"noopener\">Cadena de suministro<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/credential-harvesting-es-la\/\" target=\"_blank\" rel=\"noopener\">recolecci\u00f3n de credenciales<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/phishing-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Phishing<\/b><\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/javascript-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>JavaScript<\/b><\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-158944-_heading=h.r6t8m3gol7gi\"><\/a>Antecedentes de los paquetes npm y la cadena de suministro<\/h2>\n<p>El ataque podr\u00eda originarse en una campa\u00f1a de phishing de recolecci\u00f3n de credenciales que suplanta a npm y pide a los desarrolladores que \u201cactualicen\u201d sus opciones de inicio de sesi\u00f3n de autenticaci\u00f3n multifactor (MFA). Una vez obtenido el acceso inicial, el autor de amenazas implementa una carga maliciosa que funciona como un gusano, iniciando una secuencia de ataque en varias fases. Bas\u00e1ndose en la inclusi\u00f3n de comentarios y emojis en el script bash, Unit\u00a042 determina con confianza moderada que el actor de amenazas aprovech\u00f3 un LLM para ayudar a escribir el c\u00f3digo malicioso.<\/p>\n<p>Las versiones maliciosas de los paquetes contienen un gusano que ejecuta un script posterior a la instalaci\u00f3n. Este malware escanea el entorno comprometido en busca de credenciales sensibles, incluyendo:<\/p>\n<ul>\n<li>Archivos <span style=\"font-family: 'courier new', courier, monospace;\">.npmrc<\/span> (para tokens npm)<\/li>\n<li>Variables de entorno y archivos de configuraci\u00f3n dirigidos espec\u00edficamente a tokens de acceso personal (PAT) de GitHub y claves API para servicios en la nube como los siguientes:\n<ul>\n<li>Amazon Web Services (AWS)<\/li>\n<li>Google Cloud Platform (GCP)<\/li>\n<li>Microsoft Azure<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Las credenciales recolectadas se exfiltran a un endpoint controlado por un actor. El malware crea mediante programaci\u00f3n un nuevo repositorio p\u00fablico de GitHub llamado \u201cShai-Hulud\u201d bajo la cuenta de la v\u00edctima y consigna en \u00e9l los secretos robados, exponi\u00e9ndolos p\u00fablicamente.<\/p>\n<p>Utilizando el token npm robado, el malware se autentica en el registro npm como el desarrollador comprometido. Luego, identifica otros paquetes mantenidos por ese desarrollador, inyecta c\u00f3digo malicioso en ellos y publica las nuevas versiones comprometidas en el registro. Este proceso automatizado permite que el malware se propague exponencialmente sin la intervenci\u00f3n directa de un actor.<\/p>\n<h2><a id=\"post-158944-_heading=h.p1hdewvocc7v\"><\/a>Alcance actual del ataque<\/h2>\n<p><span style=\"font-weight: 400;\">A fecha de noviembre de 2025, existe un compromiso renovado centrado en npm en una campa\u00f1a denominada \"Shai-Hulud 2.0\".<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Ejecuci\u00f3n durante la preinstalaci\u00f3n (en lugar de post-instalaci\u00f3n):<\/b><span style=\"font-weight: 400;\"> Ampli\u00f3 dr\u00e1sticamente el \u00e1rea de impacto a trav\u00e9s de las m\u00e1quinas de los desarrolladores y los pipelines de integraci\u00f3n continua y entrega continua (CI\/CD).<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Un mecanismo de reserva mucho m\u00e1s agresivo:<\/b><span style=\"font-weight: 400;\"> Esto cambia las t\u00e1cticas del robo de datos puramente a un sabotaje punitivo. Si el malware no logra robar credenciales, obtener tokens o asegurar alg\u00fan canal de exfiltraci\u00f3n (es decir, no puede autenticarse en GitHub, crear un repositorio o encontrar tokens de GitHub\/npm), intenta destruir todo el directorio <\/span><i><span style=\"font-weight: 400;\">home<\/span><\/i><span style=\"font-weight: 400;\"> de la v\u00edctima. Lo hace sobrescribiendo y eliminando de forma segura cada archivo con permisos de escritura que sea propiedad del usuario actual bajo su carpeta <\/span><i><span style=\"font-weight: 400;\">home<\/span><\/i><span style=\"font-weight: 400;\">.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Nuevos archivos de carga \u00fatil:<\/b><span style=\"font-weight: 400;\"> Estos se llaman <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">setup_bun.js<\/span><span style=\"font-weight: 400;\"> y <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">bun_environment.js<\/span><span style=\"font-weight: 400;\"><span style=\"font-family: 'courier new', courier, monospace;\">.<\/span> El ataque se disfraza de un instalador \u00fatil de Bun. La carga \u00fatil principal, <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">bun_environment.js<\/span><span style=\"font-weight: 400;\">, es un archivo masivo (m\u00e1s de 10 MB) que utiliza t\u00e9cnicas de ofuscaci\u00f3n extrema. Retrasa la ejecuci\u00f3n completa en las m\u00e1quinas de los desarrolladores bifurc\u00e1ndose (<\/span><i><span style=\"font-weight: 400;\">forking<\/span><\/i><span style=\"font-weight: 400;\">) en un proceso en segundo plano separado. Esto permite que el proceso de instalaci\u00f3n original termine limpiamente, dando al usuario la ilusi\u00f3n de una instalaci\u00f3n normal.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Sha1-Hulud:<\/b><span style=\"font-weight: 400;\"> Las credenciales y secretos robados se exfiltran a repositorios p\u00fablicos de GitHub con la descripci\u00f3n del repositorio: \u201cSha1-Hulud: The Second Coming\u201d. Tambi\u00e9n intenta lograr persistencia creando un archivo de flujo de trabajo de GitHub Actions llamado <\/span><span style=\"font-weight: 400;\">discussion.yaml<\/span><span style=\"font-weight: 400;\">. Este flujo de trabajo registra la m\u00e1quina infectada como un <\/span><i><span style=\"font-weight: 400;\">runner<\/span><\/i><span style=\"font-weight: 400;\"> autohospedado y permite a los atacantes ejecutar comandos arbitrarios abriendo discusiones en GitHub.<\/span><\/li>\n<\/ul>\n<h2><b>Alcance del ataque antes de noviembre de 2025<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">El alcance del compromiso es extenso, impactando a numerosos paquetes, incluida la biblioteca ampliamente utilizada <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">@ctrl\/tinycolor<\/span><span style=\"font-weight: 400;\">, que recibe millones de descargas semanales.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">El robo de credenciales de esta campa\u00f1a puede conducir directamente al compromiso de servicios en la nube (como AWS, Azure, GCP), llevando al robo de datos de buckets de almacenamiento, despliegue de ransomware, criptominer\u00eda o eliminaci\u00f3n de entornos de producci\u00f3n. Tambi\u00e9n puede conducir al robo directo de bases de datos y al secuestro de servicios de terceros para phishing. Adem\u00e1s, las llaves SSH robadas pueden permitir el movimiento lateral dentro de las redes comprometidas.<\/span><\/p>\n<h2><a id=\"post-158944-_heading=h.f5f6s2av3d1h\"><\/a>Gu\u00edas provisionales<\/h2>\n<ol>\n<li>Rotaci\u00f3n de credenciales: rote inmediatamente todas las credenciales de desarrollador. Esto incluye tokens de acceso a npm, PAT y claves SSH de GitHub, y todas las claves de acceso program\u00e1tico para servicios en la nube y de terceros. Asuma que cualquier secreto presente en la m\u00e1quina de un desarrollador puede haber sido comprometido.<\/li>\n<li>Auditor\u00eda de dependencia: realice una auditor\u00eda exhaustiva e inmediata de todas las dependencias del proyecto. Utilice herramientas como npm audit para identificar las versiones vulnerables de los paquetes. Revise los archivos <span style=\"font-family: 'courier new', courier, monospace;\">package-lock.json<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">yarn.lock<\/span> del proyecto para asegurarse de no estar usando ninguno de los paquetes con problemas conocidos. Elimine o actualice inmediatamente las dependencias afectadas.<\/li>\n<li>Revisi\u00f3n de la seguridad de la cuenta de GitHub: todos los desarrolladores deben revisar sus cuentas de GitHub en busca de repositorios p\u00fablicos no reconocidos (en concreto, \u201cShai-Hulud\u201d), confirmaciones sospechosas o modificaciones inesperadas en los flujos de trabajo de Acciones de GitHub que podr\u00edan establecer la persistencia.<\/li>\n<li>Hacer cumplir la MFA: aseg\u00farese de que la MFA se aplique estrictamente en todas las cuentas de desarrolladores, especialmente en plataformas cr\u00edticas como GitHub y npm, para evitar el abuso de credenciales.<\/li>\n<\/ol>\n<h2><a id=\"post-158944-_heading=h.phbvejpexo5y\"><\/a>Consultas de b\u00fasqueda de amenazas gestionadas de Unit\u00a042<\/h2>\n<pre class=\"lang:default decode:true\">\/\/ Description: Check for connections to any webhook.site domains in raw NGFW URL logs. Optional filter for specific URI observed in use by threat actor.\r\n\r\ndataset = panw_ngfw_url_raw\r\n\r\n| filter lowercase(url_domain) contains \"webhook.site\"\r\n\r\n| alter susp_uri = if(uri contains \"bb8ca5f6-4175-45d2-b042-fc9ebb8170b7\")\r\n\r\n\/\/ Optional filter:\r\n\r\n\/\/ | filter susp_uri = true\r\n\r\n| fields url_domain, uri, susp_uri, *<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: Check for connections to any webhook.site domains in XDR telemetry. Optional filter for specific URI observed in use by threat actor.\r\n\r\ndataset = xdr_data\r\n\r\n| filter event_type = STORY\r\n\r\n| filter lowercase(dst_action_external_hostname) contains \"webhook.site\" or lowercase(dns_query_name) contains \"webhook.site\"\r\n\r\n| fields agent_hostname, dst_action_external_hostname, dns_query_name<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: Detect malicious YAML file\r\n\r\ndataset = xdr_data\r\n\r\n| filter event_type = FILE and action_file_name = \"shai-hulud-workflow.yml\" and agent_os_type in (ENUM.AGENT_OS_MAC, ENUM.AGENT_OS_LINUX)\r\n\r\n| fields agent_hostname, actor_effective_username, action_file_name, action_file_path, actor_process_image_name, actor_process_command_line<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: Detects Trufflehog usage. Legitimate tool abused by threat actor for secrets discovery. False positives may occur if there is legitimate use.\r\n\r\ndataset = xdr_data\r\n\r\n| filter event_type = PROCESS and lowercase(action_process_image_command_line) contains \"trufflehog\"\r\n\r\n| fields agent_hostname, actor_effective_username, actor_process_command_line, action_process_image_command_line<\/pre>\n<h3>Consultas actualizadas para la campa\u00f1a de noviembre de 2025<\/h3>\n<pre class=\"lang:default decode:true\">\/\/ Description: Detect malicious bundle.js, bun_environment.js, and setup_bun.js files\r\npreset = xdr_file \r\n| fields agent_hostname, action_file_name, action_file_path, event_type, event_sub_type, actor_process_image_name, actor_process_command_line, action_file_sha256\r\n| filter event_type = ENUM.FILE\r\n| filter action_file_sha256 = \"46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09\" \/\/ bundle.js from September 2025 attack\r\n    or action_file_sha256 in (\"62ee164b9b306250c1172583f138c9614139264f889fa99614903c12755468d0\", \"f099c5d9ec417d4445a0328ac0ada9cde79fc37410914103ae9c609cbc0ee068\", \"cbb9bc5a8496243e02f3cc080efbe3e4a1430ba0671f2e43a202bf45b05479cd\") \/\/ bun_environment.js from November 2025 attack\r\n    or action_file_sha256 = \"a3894003ad1d293ba96d77881ccd2071446dc3f65f434669b49b3da92421901a\" \/\/ setup_bun.js from November 2025 attack<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: Detects the unique SHA1HULUD string used in runner creation\r\npreset = xdr_process\r\n| fields agent_hostname, actor_effective_username, action_process_image_name, action_process_image_path, action_process_image_command_line, actor_process_image_name, actor_process_image_path, actor_process_command_line, agent_os_type, event_type, event_sub_type\r\n| filter event_type = ENUM.PROCESS\r\n    and event_sub_type = ENUM.PROCESS_START\r\n| filter action_process_image_command_line contains \" --name SHA1HULUD\"\r\n<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: Detects an extremely large (&gt;=9MB) bun_environment.js file. False positives are possible, be sure to check action_file_path for the package name and version of any hits. \r\npreset = xdr_file\r\n| fields agent_hostname, action_file_name, action_file_path, action_file_size, event_type, event_sub_type, actor_process_image_name, actor_process_command_line, action_file_sha256\r\n| filter event_type = ENUM.FILE \r\n    and event_sub_type = ENUM.FILE_WRITE\r\n| filter action_file_name = \"bun_environment.js\"\r\n    and action_file_size &gt;= 9437184<\/pre>\n<h2><a id=\"post-158944-_heading=h.xmtnahg6nzup\"><\/a>Conclusi\u00f3n<\/h2>\n<p>El gusano Shai-Hulud representa una escalada significativa en la actual serie de ataques de NPM dirigidos a la comunidad de c\u00f3digo abierto. Esto se produce tras incidentes recientes como la vulneraci\u00f3n de s1ngularity\/Nx, que supuso el robo de credenciales y expuso repositorios privados, y una campa\u00f1a generalizada de phishing de NPM observada en septiembre de 2024.<\/p>\n<p>Destaca especialmente su dise\u00f1o autorreplicante, que combina eficazmente la recogida de credenciales con un mecanismo de difusi\u00f3n automatizado que aprovecha los derechos de publicaci\u00f3n de los mantenedores para proliferar en todo el ecosistema. Adem\u00e1s, observamos la integraci\u00f3n de contenidos generados por IA en la campa\u00f1a Shai-Hulud, una evoluci\u00f3n que sigue al armamento expl\u00edcito de herramientas de l\u00ednea de comandos de IA para reconocimiento del ataque s1ngularity\/Nx. Esto significa la amenaza en constante evoluci\u00f3n de los actores maliciosos que explotan la IA para actividades maliciosas, acelerando la expansi\u00f3n secreta.<\/p>\n<p>La naturaleza consistente y refinada de estas metodolog\u00edas de ataque subraya una amenaza creciente para las cadenas de suministro de software de c\u00f3digo abierto. Estos ataques se propagan a la velocidad de la Integraci\u00f3n Continua y la Entrega Continua (CI\/CD), lo que plantea retos de seguridad duraderos y cada vez mayores para todo el ecosistema.<\/p>\n<p>Palo Alto Networks ha compartido nuestros resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-158944-_heading=h.j9jlehhmaqax\"><\/a>Protecciones y detecciones de productos de Palo Alto Networks para ataques a la cadena de suministro de paquetes npm<\/h2>\n<p>Los clientes de Palo Alto Networks pueden aprovechar varias protecciones, servicios y actualizaciones de productos dise\u00f1ados para identificar y defenderse contra esta amenaza.<\/p>\n<p>Si cree que podr\u00eda haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00 800 050 45107<\/li>\n<\/ul>\n<h3><a id=\"post-158944-_heading=h.66r29hdx4z4\"><\/a>Advanced WildFire<\/h3>\n<p>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores asociados con esta amenaza.<\/p>\n<h3><a id=\"post-158944-_heading=h.mtgl4xk081sj\"><\/a>Firewalls de pr\u00f3xima generaci\u00f3n con prevenci\u00f3n avanzada de amenazas<\/h3>\n<p><a id=\"post-158944-_heading=h.mtgl4xk081sj\"><\/a>El Firewall de pr\u00f3xima generaci\u00f3n (<a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a>), con la suscripci\u00f3n de seguridad de Prevenci\u00f3n Avanzada de Amenazas (<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a>), puede ayudar a bloquear el ataque a trav\u00e9s de la siguiente firma de Prevenci\u00f3n de Amenazas: <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?q=87042\" target=\"_blank\" rel=\"noopener\">87042<\/a>, <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?q=87046\" target=\"_blank\" rel=\"noopener\">87046<\/a> y\u00a0<a href=\"https:\/\/threatvault.paloaltonetworks.com\/?q=87047\" target=\"_blank\" rel=\"noopener\">87047<\/a>.<\/p>\n<h3><a id=\"post-158944-_heading=h.mtgl4xk081sj\"><\/a>Servicios de seguridad suministrados desde la nube para el Firewall de pr\u00f3xima generaci\u00f3n<\/h3>\n<p><a id=\"post-158944-_heading=h.rd0am83y3bl4\"><\/a>El servicio de Filtrado Avanzado de URL (<a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\">Advanced URL Filtering<\/a>) ayuda a bloquear ataques de phishing de tipo Meddler-in-the-Middle (MitM) y clasifica como maliciosas las URL asociadas con esta actividad.<\/p>\n<h3><a id=\"post-158944-_heading=h.ymw3xwqdr0ye\"><\/a>Cortex Cloud<\/h3>\n<p><span style=\"font-weight: 400;\">Cortex Cloud ofrece amplias capacidades de ASPM y seguridad de la cadena de suministro para ayudar a identificar las vulnerabilidades y configuraciones err\u00f3neas que explota Shai-Hulud. Con visibilidad de SBOM en tiempo real, los equipos pueden consultar instant\u00e1neamente su inventario contra paquetes npm maliciosos conocidos. El modelo de Riesgo Operacional de la plataforma agrega otra capa de defensa al evaluar componentes de c\u00f3digo abierto bas\u00e1ndose en la actividad del mantenedor, se\u00f1ales de desuso y salud de la comunidad para marcar paquetes riesgosos incluso sin CVEs publicados.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Para endurecer los pipelines, Cortex Cloud proporciona reglas de CI\/CD listas para usar alineadas con la gu\u00eda de OWASP y CIS, incluyendo verificaciones de archivos lock de npm faltantes, uso inseguro de \u201cnpm install\u201d, paquetes con origen en git sin hashes de commit y dependencias no utilizadas que expanden la superficie de ataque.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Dado que la publicaci\u00f3n de CVEs a menudo va por detr\u00e1s de los ataques activos, es cr\u00edtico revisar y verificar que tus aplicaciones no dependan de versiones de paquetes npm no sancionadas. Juntos, estos controles ayudan a garantizar que las versiones maliciosas no puedan entrar silenciosamente en las compilaciones ni permanecer en tu entorno.<\/span><\/p>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/Cortex+CLOUD\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> public\u00f3 una entrada de blog detallada que describe <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/cloud-security\/npm-supply-chain-attack\/\" target=\"_blank\" rel=\"noopener\">c\u00f3mo puede utilizarse Cortex Cloud para detectar y prevenir ataques a la cadena de suministro<\/a>.<\/p>\n<h3><a id=\"post-158944-_heading=h.z5jn8tivp68\"><\/a>Prisma Cloud<\/h3>\n<p><a id=\"post-158944-_heading=h.zgmdoar6bdfb\"><\/a><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/cloud\" target=\"_blank\" rel=\"noopener\">Prisma Cloud<\/a> puede ayudar a detectar el uso de paquetes maliciosos y reconocer errores de configuraci\u00f3n en las canalizaciones que podr\u00edan llevar a los clientes a utilizar versiones de paquetes OSS no comprobadas o no autorizadas. Sin embargo, el esc\u00e1ner est\u00e1 dise\u00f1ado para detectar vulnerabilidades, problemas de licencia y riesgos operativos, y no para detectar c\u00f3digo malicioso en paquetes nuevos. Es importante investigar las alertas de CI\/CD pertinentes y asegurarse de que las aplicaciones no utilizan versiones no autorizadas de paquetes npm.<\/p>\n<h2><a id=\"post-158944-_heading=h.wc0qwf9vxj0b\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b74caeaa75e077c99f7d44f46daaf9796a3be43ecf24f2a1fd381844669da777<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dc67467a39b70d1cd4c1f7f7a459b35058163592f4a9e8fb4dffcbba98ef210c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4b2399646573bb737c4969563303d8ee2e9ddbd1b271f1ca9e35ea78062538db<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps:\/\/webhook[.]site\/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-158944-_heading=h.fx5besq1p5rp\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><a href=\"https:\/\/www.wiz.io\/blog\/shai-hulud-2-0-ongoing-supply-chain-attack\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Ataque a la cadena de suministro Sha1-Hulud 2.0: +25K repositorios npm expuestos | Blog de Wiz<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><a href=\"https:\/\/www.koi.ai\/incident\/live-updates-sha1-hulud-the-second-coming-hundred-npm-packages-compromised\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Actualizaciones en vivo: Sha1-Hulud, La segunda venida - Cientos de paquetes NPM comprometidos<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><a href=\"https:\/\/www.stepsecurity.io\/blog\/sha1-hulud-the-second-coming-zapier-ens-domains-and-other-prominent-npm-packages-compromised\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Sha1-Hulud: La segunda venida - Zapier, ENS Domains y otros paquetes NPM prominentes comprometidos - StepSecurity<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><a href=\"https:\/\/www.paloaltonetworks.com\/blog\/cloud-security\/npm-supply-chain-attack\/\" target=\"_blank\" rel=\"noopener\">Breakdown: Widespread npm Supply Chain Attack Puts Billions of Weekly Downloads at Risk<\/a> (Un ataque generalizado a la cadena de suministro de npm pone en peligro miles de millones de descargas semanales), Palo Alto Networks<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>El gusano autorreplicante \u00abShai-Hulud\u00bb ha comprometido cientos de paquetes de software en un ataque a la cadena de suministro dirigido al ecosistema npm. Analizamos el alcance y otros aspectos.<\/p>\n","protected":false},"author":23,"featured_media":157761,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8775,8793],"tags":[9547,9451,9634,9242,9519],"product_categories":[8923,8925,8921,8928,8932,8933,8934,8935,8938,8929,8890],"coauthors":[1025],"class_list":["post-158944","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-es-la","category-malware-es-la","tag-cloud-security-es-la","tag-credential-harvesting-es-la","tag-javascript-es-la","tag-phishing-es-la","tag-supply-chain-es-la","product_categories-advanced-threat-prevention-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-code-to-cloud-platform-es-la","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-next-generation-firewall-es-la","product_categories-prisma-cloud-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>El gusano \u201cShai-Hulud\u201d compromete el ecosistema npm en un ataque a la cadena de suministro (Actualizado el 26 de noviembre)<\/title>\n<meta name=\"description\" content=\"El gusano autorreplicante \u00abShai-Hulud\u00bb ha comprometido cientos de paquetes de software en un ataque a la cadena de suministro dirigido al ecosistema npm. Analizamos el alcance y otros aspectos.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"El gusano \u201cShai-Hulud\u201d compromete el ecosistema npm en un ataque a la cadena de suministro (Actualizado el 26 de noviembre)\" \/>\n<meta property=\"og:description\" content=\"El gusano autorreplicante \u00abShai-Hulud\u00bb ha comprometido cientos de paquetes de software en un ataque a la cadena de suministro dirigido al ecosistema npm. Analizamos el alcance y otros aspectos.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-11-25T17:26:37+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-04T14:52:56+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"El gusano \u201cShai-Hulud\u201d compromete el ecosistema npm en un ataque a la cadena de suministro (Actualizado el 26 de noviembre)","description":"El gusano autorreplicante \u00abShai-Hulud\u00bb ha comprometido cientos de paquetes de software en un ataque a la cadena de suministro dirigido al ecosistema npm. Analizamos el alcance y otros aspectos.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/","og_locale":"es_LA","og_type":"article","og_title":"El gusano \u201cShai-Hulud\u201d compromete el ecosistema npm en un ataque a la cadena de suministro (Actualizado el 26 de noviembre)","og_description":"El gusano autorreplicante \u00abShai-Hulud\u00bb ha comprometido cientos de paquetes de software en un ataque a la cadena de suministro dirigido al ecosistema npm. Analizamos el alcance y otros aspectos.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/","og_site_name":"Unit 42","article_published_time":"2025-11-25T17:26:37+00:00","article_modified_time":"2025-12-04T14:52:56+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"El gusano \u201cShai-Hulud\u201d compromete el ecosistema npm en un ataque a la cadena de suministro (Actualizado el 26 de noviembre)","datePublished":"2025-11-25T17:26:37+00:00","dateModified":"2025-12-04T14:52:56+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/"},"wordCount":2430,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg","keywords":["Cloud Security","Credential Harvesting","JavaScript","phishing","supply chain"],"articleSection":["Amenazas sofisticadas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/","name":"El gusano \u201cShai-Hulud\u201d compromete el ecosistema npm en un ataque a la cadena de suministro (Actualizado el 26 de noviembre)","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg","datePublished":"2025-11-25T17:26:37+00:00","dateModified":"2025-12-04T14:52:56+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"El gusano autorreplicante \u00abShai-Hulud\u00bb ha comprometido cientos de paquetes de software en un ataque a la cadena de suministro dirigido al ecosistema npm. Analizamos el alcance y otros aspectos.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/06_Malware_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of the npm packages supply chain attack. A blurred image focusing on a person typing on a laptop with lines of code visible on the screen, illuminated in blue and red lights, suggestive of intense coding or cyber activities."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/npm-supply-chain-attack\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"El gusano \u201cShai-Hulud\u201d compromete el ecosistema npm en un ataque a la cadena de suministro (Actualizado el 26 de noviembre)"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/24dfba25c0e71d4de1836b78795bc2e5","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/158944","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=158944"}],"version-history":[{"count":6,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/158944\/revisions"}],"predecessor-version":[{"id":167618,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/158944\/revisions\/167618"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/157761"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=158944"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=158944"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=158944"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=158944"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=158944"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}