La cadena de suministro de software vuelve a estar en el centro de la atención tras el descubrimiento de una nueva campaña maliciosa denominada Miasma, una operación que comprometió múltiples paquetes npm asociados a Red Hat con el objetivo de robar credenciales, secretos corporativos y propagarse automáticamente a nuevos entornos de desarrollo.
Investigadores de Socket identificaron la campaña y la describieron como una evolución directa de Mini Shai-Hulud, un gusano orientado a desarrolladores que combina ejecución durante la instalación, robo masivo de credenciales, compromiso de pipelines CI/CD y mecanismos de propagación automatizada.
La campaña representa una nueva generación de amenazas a la cadena de suministro, donde el objetivo ya no es únicamente distribuir malware, sino comprometer identidades, infraestructura cloud y ecosistemas completos de desarrollo.
Las investigaciones apuntan a que el punto de entrada inicial fue la posible toma de control de una cuenta de GitHub perteneciente a un empleado de Red Hat.
Posteriormente, los atacantes realizaron commits maliciosos en repositorios relacionados con Red Hat Insights, logrando insertar código malicioso dentro de diversos paquetes npm distribuidos públicamente.
Entre los paquetes afectados se encuentran:
– @redhat-cloud-services/vulnerabilities-client
– @redhat-cloud-services/remediations-client
– @redhat-cloud-services/rbac-client
– @redhat-cloud-services/sources-client
– @redhat-cloud-services/rule-components
– @redhat-cloud-services/topological-inventory-client
– @redhat-cloud-services/tsc-transform-imports
El código malicioso fue introducido mediante hooks de instalación ofuscados que se ejecutaban automáticamente cuando los paquetes eran descargados e instalados por los desarrolladores.
Los análisis realizados por Wiz, SafeDep, Microsoft, JFrog, ReversingLabs y Aikido Security revelaron que el malware incorpora capacidades avanzadas de recolección de información.
Entre los elementos robados se encuentran:
– Tokens de GitHub
– Tokens npm
– Credenciales AWS
– Credenciales Azure
– Credenciales Google Cloud
– Secretos de Kubernetes
– Secretos HashiCorp Vault
– Claves SSH
– Credenciales Git
– Variables de entorno sensibles
– Secretos de GitHub Actions
El objetivo principal parece ser el acceso a entornos corporativos y plataformas cloud que permitan ampliar el alcance del ataque.
Según Wiz, esta variante muestra un interés mucho mayor por identidades cloud que versiones anteriores del malware.
Uno de los aspectos más preocupantes de Miasma es su capacidad para transformarse en un ataque de cadena de suministro autorreplicable.
Una vez obtenidos los tokens y credenciales, el malware intenta acceder a repositorios GitHub donde el usuario comprometido posee permisos de escritura.
Posteriormente:
– Analiza workflows de GitHub Actions.
– Inserta código malicioso en nuevos repositorios.
– Genera commits firmados para aparentar legitimidad.
– Compromete nuevos proyectos.
– Amplía la propagación a otras organizaciones.
Este comportamiento recuerda a ataques históricos como SolarWinds, Codecov y 3CX, aunque adaptado al ecosistema moderno de desarrollo basado en GitHub y DevOps.
Otra característica innovadora de Miasma es su capacidad para establecer persistencia en herramientas ampliamente utilizadas por desarrolladores.
Los investigadores detectaron modificaciones destinadas a:
El malware inserta configuraciones persistentes que permiten ejecutar componentes maliciosos durante futuras sesiones.
Se identificó la creación de tareas automáticas mediante:
json «runOn»: «folderOpen»
Lo anterior permite que el código malicioso se ejecute automáticamente cada vez que un proyecto sea abierto por el desarrollador.
Este enfoque demuestra que los atacantes ya están considerando las herramientas impulsadas por IA y los IDE modernos como vectores permanentes de acceso.
Miasma incorpora múltiples mecanismos diseñados para dificultar su detección.
Entre ellos destacan:
– Payloads cifrados únicos por víctima.
– Exfiltración cifrada de información.
– Uso de APIs legítimas para comunicación.
– GitHub como canal alternativo de comando y control.
– Detección de soluciones EDR antes de ejecutar actividades maliciosas.
El malware incluso verifica la presencia de:
– CrowdStrike
– SentinelOne
– Carbon Black
– StepSecurity Harden Runner
Antes de desplegar algunas de sus capacidades más agresivas.
El incidente ocurre en medio de una creciente ola de ataques a la cadena de suministro.
Durante los últimos meses también se han observado compromisos que afectaron a:
– Bitwarden
– SAP
– Aqua Trivy
– Checkmarx KICS
– TanStack
– GitHub
– Nx Console
Además, recientemente fue revelada la campaña Megalodon, enfocada en robar secretos de CI/CD mediante workflows maliciosos de GitHub Actions.
Según CISA, estos incidentes demuestran que los actores de amenazas están concentrando esfuerzos en atacar herramientas, procesos y plataformas críticas para el desarrollo de software moderno.
Los especialistas recomiendan actuar inmediatamente si existe posibilidad de exposición.
Las acciones prioritarias incluyen:
– Identificar instalaciones de los paquetes comprometidos.
– Aislar equipos afectados.
– Rotar todas las credenciales potencialmente expuestas.
– Revocar tokens GitHub y npm.
– Revisar pipelines CI/CD.
– Auditar repositorios en busca de commits sospechosos.
– Validar workflows GitHub Actions.
– Buscar artefactos de persistencia en Claude Code y Visual Studio Code.
– Invalidar artefactos generados durante el período de exposición.
Miasma confirma una realidad que ya comienza a consolidarse en la industria: los desarrolladores se han convertido en uno de los objetivos más valiosos para los atacantes.
Hoy, comprometer una estación de trabajo de desarrollo puede otorgar acceso a repositorios, secretos, identidades cloud, pipelines de despliegue e infraestructura crítica.
A medida que las organizaciones aceleran la adopción de DevOps, GitHub Actions, IA generativa y entornos cloud, los ataques a la cadena de suministro seguirán evolucionando y representarán uno de los mayores riesgos para la seguridad empresarial durante los próximos años.
Software supply chain security is once again under the spotlight following the discovery of a new campaign dubbed Miasma, which compromised multiple Red Hat-related npm packages to steal credentials, harvest secrets, and spread across development environments.
Researchers at Socket described the operation as an evolution of Mini Shai-Hulud, combining install-time execution, credential theft, CI/CD compromise, and self-propagating capabilities.
The campaign reflects a broader shift in cybercriminal strategy: targeting identities, cloud environments, and software development ecosystems rather than simply deploying malware.
Evidence suggests the attack originated from the compromise of a GitHub account belonging to a Red Hat employee.
Attackers subsequently injected malicious orphan commits into repositories associated with Red Hat Insights, allowing malicious code to be distributed through publicly available npm packages.
Several affected packages were widely used across Red Hat cloud service projects.
Analysis from Wiz, SafeDep, Microsoft, JFrog, ReversingLabs, and Aikido Security revealed extensive credential harvesting capabilities.
The malware targets:
– GitHub tokens
– npm tokens
– AWS credentials
– Azure credentials
– Google Cloud credentials
– Kubernetes secrets
– HashiCorp Vault secrets
– SSH keys
– Git credentials
– CI/CD secrets
Researchers noted a stronger focus on cloud identity compromise compared to previous variants.
Once credentials are stolen, the malware attempts to identify repositories where compromised identities have write access.
It then:
– Enumerates repositories.
– Modifies GitHub Actions workflows.
– Inserts malicious code.
– Creates signed commits.
– Expands compromise to additional projects.
This behavior transforms credential theft into a scalable supply chain attack.
One of the most notable capabilities is persistence inside modern developer environments.
The malware has been observed modifying:
Persistent hooks are added to ensure execution during future sessions.
Malicious tasks are created using automatic execution features triggered when projects are opened.
This demonstrates that threat actors are increasingly targeting AI-assisted development platforms and IDEs.
Miasma employs several defensive evasion mechanisms:
– Per-victim encrypted payloads.
– Encrypted exfiltration.
– Abuse of legitimate APIs.
– GitHub-based fallback channels.
– Endpoint protection detection.
The malware actively checks for:
– CrowdStrike
– SentinelOne
– Carbon Black
– StepSecurity Harden Runner
before executing certain malicious actions.
The incident follows a series of recent supply chain attacks affecting:
– Bitwarden
– SAP
– Aqua Trivy
– Checkmarx KICS
– TanStack
– GitHub
– Nx Console
Security agencies including CISA have warned that threat actors are increasingly abusing development workflows, CI/CD pipelines, and software distribution mechanisms.
Organizations should:
– Identify affected package installations.
– Isolate impacted hosts.
– Rotate exposed credentials.
– Revoke GitHub and npm tokens.
– Audit CI/CD pipelines.
– Review repository activity.
– Validate GitHub Actions workflows.
– Search for persistence artifacts.
– Rebuild affected software artifacts.
Miasma highlights a growing reality in cybersecurity: developers have become one of the highest-value targets in modern attacks.
Compromising a developer workstation can provide access to source code, cloud infrastructure, secrets, deployment pipelines, and enterprise environments.
As organizations continue adopting DevOps, cloud-native architectures, AI-assisted development, and automation, supply chain attacks will remain one of the most significant cybersecurity risks in the years ahead.
El Monitoreo de Dominios es un servicio de ciberseguridad que vigila en forma continua tus dominios y todo lo que se parezca a ellos para detectar señales tempranas de suplantación, phishing y abuso de marca.
Sirve para:
Detectar dominios parecidos (typosquatting, homoglyphs, TLDs distintos) usados para engañar a usuarios.
Identificar sitios clonados que imitan tu web, login, pagos o portales (phishing).
Monitorear cambios de DNS (MX, SPF, DKIM, DMARC, A/AAAA, NS) que puedan habilitar fraude o desvío de correo.
Detectar certificados TLS/SSL emitidos para dominios sospechosos (señal típica de campañas de phishing).
Alertar sobre infraestructura maliciosa asociada (IPs, hosting, patrones repetidos) y priorizar por riesgo.
Apoyar acciones de takedown y bloqueo (registradores, hosting, listas de denegación, gateways de correo).
En simple: te permite ver y cortar rápido los intentos de suplantación digital antes de que afecten a clientes, pacientes, usuarios o colaboradores, y reduce fraude, pérdida de confianza y riesgo reputacional.
El Monitoreo de Dark Web es un servicio de ciberinteligencia que busca y vigila de forma continua en foros clandestinos, marketplaces, sitios de leaks y comunidades cerradas donde se publican, venden o comparten datos robados.
Sirve para:
Detectar filtraciones asociadas a tu organización (bases de datos, documentos, correos, PII).
Encontrar credenciales comprometidas (usuarios/contraseñas) antes de que se usen en accesos no autorizados.
Identificar venta de accesos a sistemas (VPN, RDP, correo, SSO, paneles).
Anticipar extorsión/ransomware (menciones, “samples”, anuncios de leak).
Proteger marca y clientes: señales de phishing, suplantación, fraude.
Entregar alertas y evidencia para investigación y respuesta a incidentes.
En simple: te da visibilidad de lo que pasa fuera de tu perímetro, donde normalmente aparece la información robada antes de que el ataque escale o se haga público.
El servicio de CTI (Cyber Threat Intelligence) es la capacidad de buscar, analizar y transformar información sobre ciberamenazas en decisiones concretas para reducir riesgo. Sirve para anticiparse: entender quién te puede atacar, cómo lo haría, qué señales dejaría y qué debes reforzar antes de que pase.
¿Qué entrega normalmente?
En una frase: CTI convierte ruido del mundo criminal en inteligencia accionable para prevenir, detectar y responder mejor.
Un CyberSOC (Cyber Security Operations Center) es un centro especializado que monitorea, detecta y responde a amenazas de ciberseguridad de forma continua (24×7). Su función es proteger los activos digitales de una organización mediante el análisis de eventos, correlación de alertas y gestión estructurada de incidentes.
Sirve para identificar ataques en tiempo real, reducir el impacto de incidentes, cumplir con normativas y fortalecer la postura de seguridad del negocio. En simple: es el equipo y la tecnología que vigilan tu infraestructura digital para que tu operación no se detenga frente a ciberamenazas.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
