Un ver malveillant compromet des domaines crypto lors d'une attaque sur la chaîne d'approvisionnement

Le 24 novembre, la société de sécurité Aikido a détecté une seconde vague du ver npm auto-répliquant Shai-Hulud, compromettant 492 paquets totalisant 132 millions de téléchargements mensuels.

L’attaque a frappé des écosystèmes majeurs, dont AsyncAPI, PostHog, Postman, Zapier et ENS, exploitant les dernières semaines avant la date limite du 9 décembre fixée par npm pour révoquer les anciens jetons d’authentification.

La file d’attente de triage d’Aikido a signalé l’intrusion vers 3h16 UTC, alors que des versions malveillantes de go-template d’AsyncAPI et de 36 paquets associés commençaient à se propager dans le registre.

L’attaquant a étiqueté les dépôts de données volées avec la description “Sha1-Hulud: The Second Coming”, maintenant ainsi le branding théâtral de la campagne de septembre.

Le ver installe l’environnement d’exécution Bun lors de la configuration du paquet, puis exécute un code malveillant qui recherche des secrets exposés dans les environnements de développement à l’aide de TruffleHog.

Les clés API compromises, les jetons GitHub et les identifiants npm sont publiés dans des dépôts publics aux noms aléatoires, et le logiciel malveillant tente de se propager en poussant de nouvelles versions infectées vers jusqu’à 100 paquets supplémentaires, soit cinq fois l’ampleur de l’attaque de septembre.

Évolution technique et charge utile destructrice

L’itération de novembre introduit plusieurs modifications par rapport à l’attaque de septembre.
Le logiciel malveillant crée désormais des dépôts aux noms générés aléatoirement pour les données volées, au lieu d’utiliser des noms codés en dur, compliquant ainsi les efforts de suppression.

Le code d’installation installe Bun via setup_bun.js avant d’exécuter la charge utile principale dans bun_environment.js, qui contient la logique du ver et les routines d’exfiltration des identifiants.

L’ajout le plus destructeur : si le logiciel malveillant ne peut pas s’authentifier auprès de GitHub ou npm à l’aide des identifiants volés, il efface tous les fichiers du répertoire personnel de l’utilisateur.

L’analyse d’Aikido a révélé des erreurs d’exécution qui ont limité la propagation de l’attaque. Le code de regroupement qui copie l’intégralité du ver dans de nouveaux paquets omet parfois d’inclure bun_environment.js, ne laissant que le script d’installation de Bun sans la charge utile malveillante.

Malgré ces échecs, les compromissions initiales ont touché des cibles de grande valeur avec une exposition massive en aval.

Les paquets AsyncAPI ont dominé la première vague, avec 36 versions compromises, dont @asyncapi/cli, @asyncapi/parser et @asyncapi/generator.

PostHog a suivi à 4h11 UTC, avec des versions infectées de posthog-js, posthog-node et des dizaines de plugins. Les paquets Postman sont arrivés à 5h09 UTC.

La compromission de Zapier a affecté @zapier/zapier-sdk, zapier-platform-cli et zapier-platform-core, tandis que celle d’ENS a touché @ensdomains/ensjs, @ensdomains/ens-contracts et ethereum-ens.

La création de branches GitHub suggère un accès au niveau du dépôt

L’équipe AsyncAPI a découvert une branche malveillante dans leur dépôt CLI créée juste avant l’apparition des paquets compromis sur npm.

La branche contenait une version déployée du logiciel malveillant Shai-Hulud, indiquant que l’attaquant avait obtenu un accès en écriture au dépôt lui-même plutôt que de simplement détourner des jetons npm.

Cette escalade reflète la technique utilisée lors de la compromission initiale de Nx, où les attaquants ont modifié les dépôts sources pour injecter du code malveillant dans des pipelines de build légitimes.

Aikido estime que 26 300 dépôts GitHub contiennent désormais des identifiants volés marqués de la description “Sha1-Hulud: The Second Coming”.

Les dépôts contiennent des secrets exposés par les environnements de développement ayant exécuté les paquets compromis, notamment des identifiants de services cloud, des jetons CI/CD et des clés d’authentification pour des API tierces.

La nature publique de ces fuites amplifie les dégâts : tout attaquant surveillant ces dépôts peut récolter les identifiants en temps réel et lancer des attaques secondaires.

Calendrier de l’attaque et mesures d’atténuation

Le calendrier coïncide avec l’annonce du 15 novembre par npm de la révocation des anciens jetons d’authentification le 9 décembre.

Le choix de l’attaquant de lancer une dernière campagne à grande échelle avant la date limite suggère qu’il a compris que la fenêtre pour les compromissions basées sur les jetons se refermait. La chronologie d’Aikido montre que la première vague Shai-Hulud a commencé le 16 septembre.

La “Second Coming” du 24 novembre représente la dernière opportunité de l’attaquant d’exploiter les anciens jetons avant que la migration de npm ne coupe cet accès.

Aikido recommande aux équipes de sécurité d’auditer toutes les dépendances des écosystèmes affectés, en particulier les paquets Zapier, ENS, AsyncAPI, PostHog et Postman installés ou mis à jour après le 24 novembre.

Les organisations doivent renouveler tous les secrets GitHub, npm, cloud et CI/CD utilisés dans les environnements où ces paquets étaient présents, et rechercher sur GitHub les dépôts portant la description “Sha1-Hulud: The Second Coming” pour déterminer si des identifiants internes ont été exposés.

Désactiver les scripts postinstall npm dans les pipelines CI prévient l’exécution lors de futures installations, et figer les versions des paquets avec des fichiers de verrouillage limite l’exposition à de nouvelles versions compromises.

L’article Malicious worm compromises crypto domains in supply-chain attack est apparu en premier sur CryptoSlate.