Los investigadores de ciberseguridad han revelado detalles de lo que parece ser una nueva cepa de Shai Hulud en el registro de npm con ligeras modificaciones con respecto a la ola anterior observada el mes pasado.

El paquete npm que incorpora la nueva cepa Shai Hulud es» @vietmoney /react-big-calendar », que fue subido a npm en marzo de 2021 por un usuario llamado «hoquocdat». Se actualizó por primera vez el 28 de diciembre de 2025 a la versión 0.26.2. El paquete ha sido descargado 698 veces desde su publicación inicial. La última versión ha sido descargada 197 veces.

Aikido, que descubrió el paquete, dijo que no había detectado ninguna propagación o infección importante tras el lanzamiento del paquete.

«Esto sugiere que es posible que hayamos atrapado a los atacantes probando su carga útil», dijo el investigador de seguridad Charlie Eriksen dijo . «Las diferencias en el código sugieren que se volvió a ocultar con respecto a la fuente original, no se modificó en su lugar. Esto hace que sea muy improbable que sea una imitación, sino que lo creó alguien que tenía acceso al código fuente original del gusano».

El ataque de Shai-Hulud salió a la luz por primera vez en septiembre de 2025, cuando se descubrió que paquetes npm troyanizados robaban datos confidenciales como claves de API, credenciales de nube y tokens de npm y GitHub, y los filtraban a los repositorios de GitHub utilizando los tokens robados. En el segunda ola descubiertos en noviembre de 2025, los repositorios contenían la descripción «Sha1-Hulud: The Second Coming».

Sin embargo, el aspecto más importante de la campaña es su capacidad para convertir los tokens npm en armas para obtener otros 100 paquetes más descargados asociados al desarrollador, introducir los mismos cambios maliciosos y enviarlos a npm, ampliando así la escala del compromiso de la cadena de suministro de forma similar a la de un gusano.

La nueva variedad viene con cambios notables -

  • El archivo inicial ahora se llama "bun_installer.js" y la carga útil principal se denomina "environment_source.js»
  • Los repositorios de GitHub a los que se filtran los secretos incluyen la descripción «Goldox-T3chs: Only Happy Girl».
  • Los nombres de los archivos que contienen los secretos son: 3nvir0nm3nt.json, cl0vd.json, c9nt3nts.json, Pigs3cr3ts.json y ActionsSecrets.json

Otras modificaciones importantes incluyen una mejor gestión de los errores cuando se agota el tiempo de espera del escáner de credenciales de TruffleHog, una mejor publicación de paquetes basada en el sistema operativo y ajustes en el orden en que se recopilan y guardan los datos.

Un paquete falso de Jackson JSON Maven lanza Cobalt Strike Beacon

El desarrollo se produce cuando la empresa de seguridad de la cadena de suministro dijo haber identificado un paquete malicioso («org.fasterxml.jackson.core/jackson-databind») en Maven Central que se hace pasar por una extensión legítima de la biblioteca JSON de Jackson («com.fasterxml.jackson.core»), pero incorpora una cadena de ataques de varias etapas que ofrece ejecutables específicos de la plataforma. Desde entonces, el paquete ha sido retirado.

En el archivo Java Archive (JAR) hay un código muy ofuscado que entra en acción una vez que un desarrollador desprevenido añade la dependencia maliciosa a su archivo "pom.xml».

«Cuando se inicia la aplicación Spring Boot, Spring busca clases de @Configuration y encuentra JacksonSpringAutoConfiguration», dijo Eriksen dijo . «La comprobación @ConditionalOnClass ({ApplicationRunner.class}) pasa (ApplicationRunner siempre está presente en Spring Boot), por lo que Spring registra la clase como un bean. El ApplicationRunner del malware se invoca automáticamente cuando se carga el contexto de la aplicación. No se requieren llamadas explícitas».

A continuación, el malware busca un archivo llamado «.idea.pid» en el directorio de trabajo. La elección del nombre del archivo es intencional y está diseñada para combinarse con los archivos del proyecto IntelliJ IDEA. Si existe un archivo de este tipo, es una señal para el malware de que ya se está ejecutando una instancia propia, lo que provoca que se cierre de forma silenciosa.

En el siguiente paso, el malware comprueba el sistema operativo y contacta con un servidor externo («m.fasterxml [.] org:51211") para obtener una respuesta cifrada que contiene las URL de una carga útil que se descargará en función del sistema operativo. El carga explosiva es un Baliza Cobalt Strike , una herramienta legítima de simulación de adversarios de la que se puede abusar con fines de mando y control después de la explotación.

En Windows, está configurado para descargar y ejecutar un archivo llamado "svchosts.exe" desde «103.127.243 [.] 82:8000", mientras que una carga útil denominada «actualización» se descarga desde el mismo servidor para los sistemas Apple macOS.

Un análisis más detallado ha revelado que el dominio errado fasterxml [.] org se registró a través de GoDaddy el 17 de diciembre de 2025, apenas una semana antes de que se detectara el paquete Maven malicioso.

«Este ataque aprovechó un punto ciego específico: los intercambios de prefijos al estilo de los TLD en la convención de espacios de nombres de dominio inverso de Java», dijo Eriksen. «La biblioteca legítima de Jackson usa com.fasterxml.jackson.core, mientras que el paquete malicioso usa org.fasterxml.jackson.core».

El problema, según Aikido, se debe a la incapacidad de Maven Central para detectar paquetes de imitación que emplean prefijos similares a los de sus homólogos legítimos para engañar a los desarrolladores para que los descarguen. También se recomienda que los responsables del mantenimiento de los repositorios de paquetes consideren la posibilidad de mantener una lista de espacios de nombres de gran valor y sometan cualquier paquete publicado con espacios de nombres de aspecto similar a una verificación adicional para garantizar su legitimidad.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.