Malisyosong uod, sinira ang mga crypto domain sa supply-chain attack

Noong Nob. 24, natuklasan ng security firm na Aikido ang pangalawang bugso ng Shai-Hulud self-replicating npm worm, na nakompromiso ang 492 packages na may pinagsamang 132 milyon na buwanang downloads.

Inatake nito ang mga pangunahing ecosystem, kabilang ang AsyncAPI, PostHog, Postman, Zapier, at ENS, na sinamantala ang huling mga linggo bago ang deadline ng npm sa Dis. 9 para bawiin ang mga legacy authentication token.

Na-flag ng triage queue ng Aikido ang intrusion bandang 3:16 AM UTC, nang magsimulang kumalat ang mga malisyosong bersyon ng go-template ng AsyncAPI at 36 na kaugnay na packages sa registry.

Pinangalanan ng attacker ang mga stolen-credential repositories na may deskripsyong “Sha1-Hulud: The Second Coming,” na pinanatili ang theatrical branding mula sa kampanya noong Setyembre.

Ini-install ng worm ang Bun runtime sa panahon ng package setup, pagkatapos ay nagpapatupad ng malisyosong code na naghahanap ng mga exposed secrets sa developer environments gamit ang TruffleHog.

Ang mga nakompromisong API keys, GitHub tokens, at npm credentials ay inilalathala sa mga pampublikong repositories na may random na pangalan, at sinusubukan ng malware na kumalat pa sa pamamagitan ng pag-push ng mga bagong infected na bersyon sa hanggang 100 karagdagang packages, limang beses na mas malaki kaysa sa Setyembre na atake.

Teknikal na ebolusyon at mapanirang payload

Ang bersyon ng Nobyembre ay nagpakilala ng ilang pagbabago mula sa atake noong Setyembre.
Ngayon, ang malware ay lumilikha ng mga repositories na may random na pangalan para sa mga ninakaw na data sa halip na gumamit ng hardcoded na pangalan, na nagpapahirap sa pagtanggal ng mga ito.

Ang setup code ay nag-iinstall ng Bun sa pamamagitan ng setup_bun.js bago patakbuhin ang pangunahing payload sa bun_environment.js, na naglalaman ng worm logic at mga routine para sa pag-exfiltrate ng credentials.

Ang pinaka-mapaminsalang karagdagan: kung hindi makapag-authenticate ang malware sa GitHub o npm gamit ang mga ninakaw na credentials, binubura nito ang lahat ng files sa home directory ng user.

Ipinakita ng pagsusuri ng Aikido na may mga execution errors na naglimita sa pagkalat ng atake. Ang bundling code na kumokopya ng buong worm sa mga bagong package ay minsan hindi naisama ang bun_environment.js, kaya Bun installation script lang ang naiiwan nang walang malisyosong payload.

Sa kabila ng mga pagkabigong ito, ang mga unang nakompromiso ay tumama sa mga high-value targets na may napakalaking downstream exposure.

Ang mga AsyncAPI package ang nangibabaw sa unang bugso, na may 36 na nakompromisong releases kabilang ang @asyncapi/cli, @asyncapi/parser, at @asyncapi/generator.

Sumunod ang PostHog bandang 4:11 AM UTC, na may infected na bersyon ng posthog-js, posthog-node, at dose-dosenang plugins. Dumating naman ang mga Postman package bandang 5:09 AM UTC.

Ang kompromiso sa Zapier ay nakaapekto sa @zapier/zapier-sdk, zapier-platform-cli, at zapier-platform-core, habang ang kompromiso sa ENS ay nakaapekto sa @ensdomains/ensjs, @ensdomains/ens-contracts, at ethereum-ens.

Paglikha ng GitHub branch na nagpapahiwatig ng repository-level access

Nadiskubre ng AsyncAPI team ang isang malisyosong branch sa kanilang CLI repository na nilikha kaagad bago lumabas ang mga nakompromisong package sa npm.

Ang branch ay naglalaman ng deployed na bersyon ng Shai-Hulud malware, na nagpapahiwatig na ang attacker ay nagkaroon ng write access mismo sa repository at hindi lang basta na-hijack ang npm tokens.

Ang pag-escalate na ito ay kahalintulad ng teknikong ginamit sa orihinal na Nx compromise, kung saan binago ng mga attacker ang source repositories upang mag-inject ng malisyosong code sa mga lehitimong build pipeline.

Tinataya ng Aikido na 26,300 GitHub repositories na ngayon ang naglalaman ng mga ninakaw na credentials na may markang “Sha1-Hulud: The Second Coming.”

Ang mga repositories ay naglalaman ng mga secrets na na-expose mula sa developer environments na nagpapatakbo ng mga nakompromisong package, kabilang ang cloud service credentials, CI/CD tokens, at authentication keys para sa mga third-party API.

Ang pagiging pampubliko ng leaks ay nagpapalala ng pinsala: sinumang attacker na nagmo-monitor ng mga repository ay maaaring mangolekta ng credentials sa real time at maglunsad ng pangalawang atake.

Timing ng atake at mga hakbang sa pag-iwas

Ang timing ay kasabay ng anunsyo ng npm noong Nob. 15 na babawiin na nito ang mga classic authentication token sa Dis. 9.

Ang desisyon ng attacker na maglunsad ng huling malakihang kampanya bago ang deadline ay nagpapahiwatig na napansin nilang malapit nang magsara ang window para sa token-based na kompromiso. Ipinapakita ng timeline ng Aikido na nagsimula ang unang Shai-Hulud wave noong Set. 16.

Ang Nob. 24 na “Second Coming” ay kumakatawan sa huling pagkakataon ng attacker na samantalahin ang legacy tokens bago tuluyang putulin ng npm ang access na iyon.

Inirerekomenda ng Aikido na suriin ng mga security team ang lahat ng dependencies mula sa mga apektadong ecosystem, partikular ang mga Zapier, ENS, AsyncAPI, PostHog, at Postman packages na na-install o na-update pagkatapos ng Nob. 24.

Dapat i-rotate ng mga organisasyon ang lahat ng GitHub, npm, cloud, at CI/CD secrets na ginamit sa mga environment kung saan naroon ang mga package na ito, at maghanap sa GitHub ng mga repository na may deskripsyong “Sha1-Hulud: The Second Coming” upang matukoy kung na-expose ang internal credentials.

Ang pag-disable ng npm postinstall scripts sa CI pipelines ay pumipigil sa mga susunod na install-time execution, at ang pag-pin ng package versions gamit ang lock files ay naglilimita sa exposure sa mga bagong nakompromisong release.

Ang post na Malicious worm compromises crypto domains in supply-chain attack ay unang lumabas sa CryptoSlate.