El malware **Shai-Hulud**, filtrado la semana pasada, está siendo explotado en nuevos ataques dirigidos al índice del **Node Package Manager (npm)**, con paquetes infectados apareciendo durante el fin de semana. Un actor de amenazas operando bajo la cuenta *deadcode09284814* publicó cuatro paquetes maliciosos en npm. Uno de estos paquetes incrustaba una versión no ofuscada de **Shai-Hulud**, dirigida a credenciales de desarrolladores, secretos, datos de billeteras de criptomonedas e información de cuentas. Todos los paquetes maliciosos fueron diseñados para exfiltrar información sensible, como credenciales y archivos de configuración. Un paquete fue más allá, convirtiendo el sistema comprometido en un bot para ataques de denegación de servicio distribuido (DDoS). ### Ataque de Typosquatting Investigadores de **OXsecurity**, una empresa enfocada en la seguridad de aplicaciones, descubrieron estas cargas maliciosas. El actor de amenazas empleó técnicas de typosquatting, utilizando nombres mal escritos para dirigirse a usuarios de **Axios**, junto con algunos nombres genéricos: 1. **chalk-tempalte** – Clon de Shai-Hulud (ladrón de información) 2. **@deadcode09284814/axios-util** – Ladrón de credenciales y configuración en la nube 3. **axois-utils** – Ladrón de información + botnet DDoS persistente (“phantom bot”) 4. **color-style-utils** – Ladrón de información básico dirigido a billeteras de criptomonedas e información de IP Según los investigadores, el paquete *chalk-tempalte* contiene un clon del malware **Shai-Hulud**, previamente atribuido al grupo de hackers **TeamPCP**, responsable del reciente [ataque de cadena de suministro de software Mini Shai-Hulud](https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/). El malware apareció en **GitHub** la semana pasada, acompañado de un mensaje supuestamente de **TeamPCP**: "Aquí vamos de nuevo - Que continúe la carnicería. Un regalo de TeamPCP." El paquete *chalk-tempalte* marca la primera instancia documentada de un clon de **Shai-Hulud** desplegado en npm. Sin embargo, **OXsecurity** señala que es un ejemplo básico, esencialmente una copia sin modificar del código fuente filtrado que carece de medidas de protección. "Una evidencia incriminatoria de que este es un actor diferente a **TeamPCP**, es que el código del malware **Shai-Hulud** es una copia casi exacta del código fuente filtrado, sin técnicas de ofuscación, lo que hace que la versión final sea visualmente diferente de la original", explica **OXsecurity**. El malware roba credenciales, secretos, datos de billeteras de criptomonedas e información de cuentas, exfiltrándola a un servidor de comando y control (C2) en 87e0bbc636999b[.]lhr[.]life. El código conserva la funcionalidad de publicación en **GitHub**, subiendo automáticamente las credenciales robadas a repositorios públicos generados automáticamente. ### Capacidades DDoS De los cuatro paquetes, *axois-utils* destaca por su inclusión de capacidades DDoS, además de la funcionalidad de robo de información común a los cuatro paquetes. El paquete soporta inundaciones HTTP, TCP y UDP, así como ataques de reinicio TCP. Los investigadores también descubrieron referencias internas a un "phantom bot".  **Código de ataque DDoS** *Fuente: OXsecurity* La [campaña Shai-Hulud](https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/) ha pasado por múltiples iteraciones [desde septiembre de 2025](https://www.bleepingcomputer.com/news/security/self-propagating-supply-chain-attack-hits-187-npm-packages/), comprometiendo los datos de los desarrolladores al inyectar malware en proyectos legítimos. Las credenciales robadas de cuentas con derechos de publicación se utilizaron luego para exponer información exfiltrada en repositorios públicos de **GitHub**. Estas campañas se han atribuido al grupo de hackers **TeamPCP**. En un informe anterior, **OXsecurity indica** que los actores de amenazas copiaron rápidamente el código fuente del malware y comenzaron a modificarlo para expandir sus capacidades. Los investigadores aconsejan a los desarrolladores que descargaron paquetes npm infectados que los eliminen de inmediato y roten sus credenciales y claves API en los sistemas afectados. **OXsecurity** informa que los cuatro paquetes tuvieron un recuento combinado de descargas de 2,678.