Ataque Shai-Hulud: Vulneran Bitwarden CLI en npm
TL;DR
Bitwarden CLI comprometido en el ataque de cadena de suministro Shai-Hulud
Análisis recientes de OX Security y Socket han confirmado que el paquete @bitwarden/cli en npm fue vulnerado mediante una puerta trasera (backdoor). La versión maliciosa, la 2026.4.0, contiene un gusano de autopropagación conocido como "Shai-Hulud". Este ataque apunta específicamente a desarrolladores y empresas mediante la inyección de un archivo llamado bw1.js dentro del paquete. Aunque las versiones de escritorio y las extensiones de navegador de Bitwarden se mantienen seguras, la herramienta de interfaz de línea de comandos (CLI), utilizada por más de 10 millones de usuarios, representa una grave preocupación para quienes gestionan su seguridad y privacidad en línea.
Análisis técnico de la carga útil maliciosa
El malware se ejecuta durante la fase de preinstall a través de un script denominado bw_setup.js. Este descarga Bun v1.3.13 para ejecutar el código malicioso contenido en bw1.js. Una característica peculiar es su "interruptor de apagado por región rusa"; el malware verifica el idioma del sistema host y se detiene si está configurado en ruso. Esto sugiere que los creadores probablemente buscan evitar la infección de sistemas en su propia región. Para quienes deseen protegerse contra este tipo de amenazas regionales, el uso de SquirrelVPN puede ayudar a ocultar su huella digital y fortalecer su ciberseguridad.
Exfiltración de datos e integración con GitHub
Una vez activo, el gusano recolecta una amplia gama de datos confidenciales. Sus objetivos principales son tokens de GitHub, credenciales de AWS, tokens de Azure e información de GCP. Los datos robados se cifran mediante AES-256-GCM y luego se cargan en un repositorio público recién creado en la propia cuenta de GitHub de la víctima. Estos repositorios suelen utilizar nombres inspirados en la saga Dune, como "Shai-Hulud: The Third Coming". Investigadores de JFrog Security también han detectado el uso de TruffleHog para escanear y localizar secretos ocultos dentro del sistema infectado.
Propagación en la cadena de suministro y persistencia
El malware no se limita a robar datos; también intenta propagarse. Utiliza tokens de npm robados para identificar otros paquetes que el desarrollador tenga permisos para editar. Posteriormente, inyecta código malicioso en dichos paquetes y los vuelve a publicar, perpetuando el ciclo. Para garantizar su persistencia, modifica perfiles de shell como ~/.bashrc y ~/.zshrc. Esta tendencia en los ataques cibernéticos subraya por qué la gestión de la autenticación de múltiples factores y la rotación de claves es vital para cualquier profesional o entusiasta de la tecnología.
Lista de verificación de seguridad recomendada
Si ha utilizado la CLI de Bitwarden en las últimas 24 horas, siga estos pasos para asegurar su entorno:
- Degradar la versión de inmediato: Cambie su versión del paquete npm a la 2026.3.0 o una inferior.
- Rotar todas las claves: Esto incluye tokens de acceso personal de GitHub, claves de acceso de AWS y tokens de npm.
- Auditar repositorios: Busque cualquier repositorio público no autorizado en su cuenta de GitHub que contenga "Shai-Hulud" en la descripción.
- Verificar persistencia: Busque un archivo de bloqueo en
/tmp/tmp.987654321.locke inspeccione sus archivos de configuración de shell en busca de código sospechoso. - Habilitar 2FA: Utilice siempre la autenticación de múltiples factores en todas sus cuentas de desarrollador y de nube para evitar accesos no autorizados, incluso si un token llega a ser robado.
Proteja su vida digital y manténgase al tanto de las últimas amenazas con el análisis experto de squirrelvpn.com.
