Червь Shai-Hulud атакует экосистему npm, похищены сотни секретов

В экосистеме npm выявлена масштабная цепная атака с использованием самораспространяющегося вредоносного кода Shai-Hulud, сообщили специалисты по кибербезопасности ReversingLabs, Wiz и JFrog. По их данным, с 14 сентября злоумышленники взломали более 40 аккаунтов разработчиков, опубликовав свыше 700 вредоносных версий 180+ пакетов с миллионами еженедельных загрузок, включая @ctrl/tinycolor, ngx-bootstrap и пакеты CrowdStrike.

Вредоносный код представляет собой JavaScript-червя, который после компрометации аккаунта разработчика автоматически создает новые версии всех его пакетов, добавляя скрипт postinstall. Этот скрипт загружает утилиту TruffleHog для поиска до 800 видов секретов и похищает токены GitHub, npm, AWS, GCP, Atlassian и Datadog, а также переменные окружения и облачные ключи. Найденные данные выгружаются в публичные GitHub-репозитории с именем Shai-Hulud или Shai-Hulud Migration и могут использоваться для последующих атак.

Червь целенаправленно пропускает Windows и атакует Linux и macOS. GitGuardian зафиксировала утечку как минимум 278 секретов, десятки из которых оставались активны. Wiz назвала Shai-Hulud одной из самых серьезных атак на JavaScript-цепочки поставок, отметив сходство с недавней кампанией s1ngularity. Эксперты советуют разработчикам проверять новые репозитории и версии пакетов, отзывать и перевыпускать все токены и ключи, а также фиксировать зависимости, чтобы предотвратить несанкционированные обновления.