AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Nueva campaña ‘Like Shai-Hulud’ compromete credenciales de desarrolladores y se propaga por la cadena de suministro software**

admin

### 1. Introducción

En los últimos días, analistas de ciberseguridad han detectado una sofisticada campaña de ataque bautizada como ‘Like Shai-Hulud’, que tiene como objetivo el robo de credenciales de desarrolladores y su reutilización para expandirse lateralmente a lo largo de la cadena de suministro de software. El modus operandi de este ataque recuerda a incidentes recientes como los perpetrados contra SolarWinds y 3CX, donde los actores de amenazas buscan acceder a proyectos de software legítimos para insertar código malicioso y afectar a los usuarios finales de manera masiva. Esta amenaza plantea serios riesgos a la integridad, confidencialidad y disponibilidad de los sistemas empresariales, especialmente en organizaciones que dependen de ecosistemas de desarrollo colaborativos y repositorios de software abiertos.

### 2. Contexto del Incidente o Vulnerabilidad

‘Like Shai-Hulud’ toma su nombre de los gigantescos gusanos de arena de la saga Dune, en referencia al movimiento sigiloso y destructivo de los atacantes dentro de la cadena de suministro. La campaña se ha dirigido principalmente a desarrolladores que mantienen proyectos populares en plataformas como GitHub, GitLab y Bitbucket. Según los primeros informes, el vector de entrada más común es el spear-phishing dirigido, mediante el cual los atacantes engañan a los desarrolladores para que introduzcan sus credenciales en portales falsos o descarguen herramientas infectadas.

Una vez obtenidas las credenciales, los atacantes las reutilizan para acceder a repositorios y entornos de integración continua (CI/CD), insertando código malicioso en bibliotecas, paquetes o imágenes de contenedores que serán consumidos por otros desarrolladores o empresas. Este enfoque incrementa exponencialmente el alcance del ataque, ya que una sola inserción puede afectar a decenas o cientos de aplicaciones y usuarios finales.

### 3. Detalles Técnicos

La campaña ‘Like Shai-Hulud’ está asociada a varias vulnerabilidades y técnicas de ataque:

– **CVE y Vectores de Ataque:** Aunque no se ha asociado la campaña a un CVE específico, explota la debilidad inherente a la gestión de credenciales y la falta de MFA (autenticación multifactorial) en plataformas de desarrollo. Asimismo, aprovecha la confianza implícita en dependencias y pipelines de CI/CD.
– **TTP (MITRE ATT&CK):**
– **TA0001 (Initial Access):** Phishing, spear-phishing a desarrolladores.
– **TA0006 (Credential Access):** Uso de técnicas como keylogging y credential dumping.
– **TA0008 (Lateral Movement):** Uso de credenciales robadas para propagación.
– **TA0009 (Collection):** Exfiltración de datos y archivos del repositorio.
– **IoC (Indicadores de Compromiso):**
– IPs asociadas a infraestructura maliciosa en Rusia y Europa del Este.
– Dominios typosquatting que imitan a proveedores de repositorios.
– Scripts de post-instalación añadidos a paquetes npm, PyPI y RubyGems.
– **Herramientas y exploits conocidos:** Se han observado variantes de Metasploit para credential harvesting, así como el uso de Cobalt Strike para establecer persistencia en entornos comprometidos. Algunos informes citan bots automatizados que buscan repositorios con tokens expuestos.

### 4. Impacto y Riesgos

El impacto potencial de ‘Like Shai-Hulud’ es elevado:

– **Gravedad:** Alto, dada la capacidad de afectar a la cadena de suministro de software y facilitar ataques masivos a terceros.
– **Versiones afectadas:** Cualquier organización o desarrollador que utilice repositorios públicos o privados sin MFA puede verse afectado.
– **Cifras económicas:** Se estima que incidentes similares han causado pérdidas superiores a 1.000 millones de dólares globalmente en los últimos tres años.
– **Cumplimiento normativo:** La fuga de datos personales puede acarrear sanciones bajo el GDPR y NIS2, especialmente si se comprometen datos personales de usuarios europeos.

### 5. Medidas de Mitigación y Recomendaciones

Las siguientes acciones son recomendadas para reducir el riesgo:

– **Implantación obligatoria de MFA** en todos los accesos a plataformas de desarrollo y repositorios.
– **Auditoría de credenciales:** Rotación periódica y control de acceso mínimo necesario.
– **Escaneo automático de código y dependencias** mediante herramientas SCA (Software Composition Analysis).
– **Revisión exhaustiva de pipelines CI/CD**, limitando los permisos de ejecución de scripts externos.
– **Monitorización activa de IoC** y correlación de logs en sistemas SIEM.
– **Formación continua a desarrolladores** en ingeniería social y phishing.
– **Aplicación de políticas de Zero Trust** en el acceso a repositorios críticos.

### 6. Opinión de Expertos

Carlos López, CISO de una multinacional tecnológica, advierte: “El eslabón más débil sigue siendo el factor humano. Una estrategia de seguridad robusta debe combinar tecnología, procesos y formación continua”. Por su parte, el investigador Eva Sánchez, del CSIRT español, subraya la importancia de automatizar la detección de anomalías en patrones de commit y despliegue: “Las cadenas de suministro modernas requieren visibilidad extrema y segmentación estricta para mitigar riesgos”.

### 7. Implicaciones para Empresas y Usuarios

Las empresas que dependen de terceros para sus desarrollos deben extremar la vigilancia, exigir auditorías de seguridad y firmar acuerdos de nivel de servicio (SLA) que incluyan cláusulas de ciberseguridad. Los usuarios finales, por su parte, se ven indirectamente afectados y pueden ser víctimas de ataques de supply chain, como el despliegue de malware en software legítimo. La tendencia de ataques a la cadena de suministro se ha duplicado desde 2021, y la implementación de NIS2 exigirá controles más estrictos a partir de 2024.

### 8. Conclusiones

La campaña ‘Like Shai-Hulud’ subraya la necesidad urgente de reforzar la seguridad en los entornos de desarrollo y la cadena de suministro software. El uso de credenciales robadas para la propagación lateral convierte a cualquier desarrollador en un potencial eslabón por el que comprometer a decenas de organizaciones. La adopción de MFA, auditorías continuas y una cultura de seguridad proactiva son esenciales para mitigar estos riesgos en un contexto normativo cada vez más exigente.

(Fuente: www.darkreading.com)