Güvenlik firmalarına göre, Düğüm Paket Yöneticisi NPM’ye yeni bir tedarik zinciri saldırısı, ilk kötü amaçlı yazılımları JavaScript yazılım kayıt defterine enjekte ettiğini söyledi.
Güvenlik satıcısı Wiz, NPM’ye birden fazla popüler paketin kötü niyetli sürümlerinin yayınlandığını ve sadece açık kaynak Trufflehog aracı aracılığıyla sırları, çevre değişkenlerini ve bulut anahtarlarını hasat etmekle kalmayıp, aynı zamanda Shai-Hulud adlı bir kamu deposu oluşturduğunu söyledi.
Wiz araştırmacıları, bu deponun hasat edilen sırların bir dökümünü içerdiğini söyledi.
Kötü amaçlı yazılım, Base64 tarafından kodlanmış bir BASH betiği ile GitHub/Workflows/Shai-hulud-workflow.yml adlı bir GitHub Eylemleri iş akışı dosyasını enjekte ederek kalıcılık oluşturur.
Bu sayede kötü amaçlı yazılım, depo sırlarını bir komut ve kontrol (C2) uç noktasına sunabilir.
Kod güvenlik satıcısı soketi, kötü niyetli güncellemenin haftalık 2.2 milyon indirme ile @ctrl/tinycolor paketine ve saldırının birden fazla bakım alanında 40’tan fazla etkilendiğini söyledi.
Ancak Aikido Security, tehlikeye atılan paketlerin sayısının 180’e yükseldiğini bildirdi.
Aikido, güvenlik satıcısı Crowdstrike’in Shai-hulud kötü amaçlı yazılım tarafından tehlikeye atılan dokuz NPM paketine sahip olduğunu belirtti.
Wiz, kampanyayı NX NPM paketlerine yapılan son S1Ngugues Saldırısı ile ilişkilendirdi ve bu da kimlik bilgilerinin de ortadan kaldırıldığını gördü.
Microsoft’un sahip olduğu NPM ve GitHub, kötü amaçlı yazılımları temizlemek için harekete geçiyor, geliştiricilere Shai-hulud’u depoları kontrol etmeleri ve sırları döndürmeleri tavsiye ediliyor.
Shai-hulud adı, bilim kurgu evreninden geliyor Kum tepesiFrank Herbert tarafından yazılmış ve solucan yaratılışının çok kasıtlı olduğunu öne sürüyor.
İçinde Kum tepesiShai-hulud, Fremen halkının Desert Planet Arrakis’e özgü dev kum kurdu dediği şeydir.