Ataque Shai-Hulud: Vulneran CLI de Bitwarden en npm

Bitwarden CLI compromise Shai-Hulud malware npm supply chain attack cybersecurity news GitHub token theft developer security
N
Natalie Ferreira

Consumer Privacy & Identity Theft Prevention Writer

 
24 de abril de 2026
3 min de lectura
Ataque Shai-Hulud: Vulneran CLI de Bitwarden en npm

TL;DR

Se ha descubierto una versión maliciosa (2026.4.0) del paquete @bitwarden/cli en npm que contiene el gusano autorreplicante 'Shai-Hulud'. El ataque inyecta código malicioso para comprometer a desarrolladores y empresas. Aunque las aplicaciones de escritorio y extensiones de navegador no están afectadas, se recomienda a los usuarios de la interfaz de línea de comandos (CLI) actualizar y verificar sus entornos de inmediato.

Bitwarden CLI comprometido en un ataque de cadena de suministro mediante el gusano Shai-Hulud

Análisis recientes de OX Security y Socket han confirmado que el paquete @bitwarden/cli en npm fue vulnerado mediante una puerta trasera (backdoor). La versión maliciosa, la 2026.4.0, contiene un gusano de autopropagación conocido como "Shai-Hulud". Este ataque está dirigido específicamente a desarrolladores y empresas, inyectando un archivo denominado bw1.js dentro del paquete. Aunque las extensiones de navegador y la aplicación de escritorio de Bitwarden siguen siendo seguras, la herramienta de interfaz de línea de comandos (CLI), utilizada por más de 10 millones de usuarios, representa un grave riesgo para quienes gestionan su seguridad y privacidad en línea.

Noticias sobre Shai Hulud

Imagen cortesía de OX Security

Análisis técnico de la carga útil maliciosa

El malware se ejecuta durante la fase de preinstalación (preinstall) a través de un script llamado bw_setup.js. Este descarga Bun v1.3.13 para ejecutar el código malicioso contenido en bw1.js. Una característica distintiva es su "mecanismo de desactivación por región rusa" (kill switch); el malware verifica el idioma del sistema anfitrión y se detiene si está configurado en ruso. Esto sugiere que los creadores buscan evitar la infección de sistemas en su propia región. Para quienes se preocupan por este tipo de amenazas regionales, utilizar SquirrelVPN puede ayudar a ocultar su huella digital y reforzar su seguridad en internet.

imagen

Imagen cortesía de OX Security

Exfiltración de datos e integración con GitHub

Una vez activo, el gusano recolecta una amplia gama de datos sensibles. Sus objetivos principales son los tokens de GitHub, credenciales de AWS, tokens de Azure e información de GCP. Los datos robados se cifran mediante el algoritmo AES-256-GCM y se suben a un repositorio público recién creado en la propia cuenta de GitHub de la víctima. Estos repositorios suelen llevar nombres inspirados en la saga Dune, como "Shai-Hulud: The Third Coming". Investigadores de JFrog Security también han detectado el uso de TruffleHog para escanear y localizar secretos ocultos dentro del sistema infectado.

Análisis de la infección de Shai-Hulud

Imagen cortesía de OX Security

Propagación en la cadena de suministro y persistencia

El malware no se limita al robo de datos; también intenta propagarse de forma activa. Utiliza los tokens de npm sustraídos para identificar otros paquetes que el desarrollador tenga permisos para editar. Posteriormente, inyecta el código malicioso en dichos paquetes y los vuelve a publicar, perpetuando el ciclo de infección. Para garantizar su persistencia, modifica los perfiles de la shell como ~/.bashrc y ~/.zshrc. Esta sofisticación en las tendencias de ciberseguridad subraya por qué la gestión de la autenticación multifactor y la rotación de claves es vital para cualquier profesional de la tecnología.

imagen

Imagen cortesía de OX Security

Lista de verificación de seguridad recomendada

Si ha utilizado Bitwarden CLI en las últimas 24 horas, siga estos pasos inmediatamente para asegurar su entorno:

  • Degradar la versión (Downgrade): Cambie la versión de su paquete npm a la 2026.3.0 o una anterior.
  • Rotar todas las claves: Esto incluye tokens de acceso personal de GitHub, claves de acceso de AWS y tokens de npm.
  • Auditar repositorios: Busque cualquier repositorio público no autorizado en su cuenta de GitHub que contenga "Shai-Hulud" en la descripción.
  • Verificar persistencia: Busque un archivo de bloqueo en /tmp/tmp.987654321.lock e inspeccione sus archivos de configuración de shell en busca de código sospechoso.
  • Activar 2FA: Utilice siempre autenticación multifactor en todas sus cuentas de desarrollador y servicios en la nube para evitar accesos no autorizados, incluso si un token llega a ser comprometido.

imagen

Imagen cortesía de OX Security

Proteja su vida digital y manténgase al tanto de las últimas amenazas con el análisis de expertos en squirrelvpn.com.

N
Natalie Ferreira

Consumer Privacy & Identity Theft Prevention Writer

 

Natalie Ferreira is a consumer technology writer who specializes in identity theft prevention, online safety, and digital literacy. After experiencing identity theft firsthand, she dedicated her career to educating the public about personal data protection. Natalie has written for major consumer technology outlets and holds a degree in Journalism from Columbia University. She focuses on making cybersecurity approachable for families, seniors, and first-time internet users who may feel overwhelmed by the technical jargon.

Noticias relacionadas

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Por Viktor Sokolov 10 de julio de 2026 4 min de lectura
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Por Marcus Chen 9 de julio de 2026 4 min de lectura
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Por Elena Voss 8 de julio de 2026 4 min de lectura
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Por James Okoro 7 de julio de 2026 4 min de lectura
common.read_full_article