La campaña de malware Shai-Hulud impactó cientos de paquetes de NPM En múltiples mantenedores, informa KOI Security, incluidas bibliotecas populares como @Ctrl/Tinycolor y algunos paquetes mantenidos por CrowdStrike.

Las versiones maliciosas integran un script troyanizado (Bundle.js) diseñado para robar credenciales de desarrolladores, exfiltrados secretos y persistir en repositorios y puntos finales a través de flujos de trabajo automatizados.

KOI Security creó una tabla de paquetes identificados como comprometidos, prometiendo que está “actualizado continuamente” (y muestra el extremo compromiso detectado el martes). Casi todos los paquetes comprometidos tienen un estado de “eliminado de NPM”.

Los atacantes publicaron versiones maliciosas de @Ctrl/TinyColor y otros paquetes NPM, inyectando un gran script ofuscado (Bundle.js) que se ejecuta automáticamente durante la instalación. Esta carga útil reempaqueta y vuelve a anunciar proyectos de mantenimiento, lo que permite que el malware se extienda lateralmente a través de paquetes relacionados sin la décimo directa del desarrollador. Como resultado, el compromiso se amplió rápidamente más allá de su punto de entrada original, impactando no solo las bibliotecas de código franco ampliamente utilizadas sino incluso los paquetes NPM de CrowdStrike.

El script inyectado realiza operaciones de casa recoleta y persistencia de credenciales. Ejecuta Trufflehog para escanear sistemas de archivos y repositorios locales para secretos, incluidos tokens NPM, credenciales de GitHub y claves de comunicación a la nimbo para AWS, GCP y Azure. Todavía escribe un archivo de flujo de trabajo de GitHub Actions oculto (.Github/Workflows/Shai-Hulud-Workflow.yml) que exfiltra los secretos durante las ejecuciones de CI/CD, asegurando el comunicación a abundante plazo incluso a posteriori de la infección original. Este doble enfoque en el robo secreto de punto final y la parte trasera convierte a Shai-Hulud en una de las campañas más peligrosas en comparación con los compromisos anteriores.
“El Código Solapado incluso intenta filtrar datos en GitHub al hacer públicos los repositorios privados”, según un Publicación de blog del martes del proveedor de sistemas de seguridad Sysdig:
El Equipo de Investigación de Amenazas de Sysdig (TRT) ha estado monitoreando el progreso de este oruga desde su descubrimiento. Correcto a los tiempos de respuesta rápidos, el número de nuevos paquetes que se comprometen se ha ralentizado considerablemente. No se han trillado nuevos paquetes en varias horas en ese momento …
Su publicación de blog concluye que “los ataques de la prisión de suministro están aumentando en frecuencia. Es más importante que nunca monitorear los paquetes de terceros para actividades maliciosas”.

Alguno Contexto del hardware de Tom:

Para ser claros: esta campaña es distinta del incidente que cubrimos el 9 de septiembre, que vio múltiples paquetes de NPM con miles de millones de descargas semanales comprometidas en un intento por robar criptomonedas. El ecosistema es el mismo: los atacantes se han donado cuenta claramente de que el registro de paquetes NPM propiedad de GitHub para el ecosistema Node.js es un objetivo valioso, pero quien está detrás de la campaña Shai-Hulud es a posteriori de más que solo poco de bitcoin.