Shai-Hulud-malwarekampanjen har vokst videre etter at angripere kompromitterte over 600 npm-pakker i et nytt storskala supply chain-angrep mot programvareøkosystemet. Sikkerhetsforskere opplyste at de skadelige pakkene rettet seg mot utviklermiljøer, CI/CD-systemer, skyopplysninger og autentiseringshemmeligheter knyttet til moderne utviklingsarbeidsflyter.
Den nyeste kampanjen spredte seg raskt gjennom npm-økosystemet og påvirket pakker knyttet til mye brukte JavaScript-miljøer. Forskere advarer om at operasjonen markerer enda en stor opptrapping i den pågående Shai-Hulud-kampanjen rettet mot åpen kildekode og utviklerinfrastruktur.
Angripere Publiserte Hundrevis Av Skadelige npm-pakker
Forskere opplyste at trusselaktører publiserte hundrevis av skadelige pakkeversjoner i løpet av et svært kort tidsrom. Mange kompromitterte pakker tilhørte ifølge rapporter @antv-økosystemet, som inneholder biblioteker for grafvisualisering, kart, diagrammer og frontendutvikling.
Shai-Hulud-malware fokuserte spesielt på å stjele sensitiv informasjon fra utviklersystemer og CI/CD-miljøer. Etterforskere opplyste at payloaden forsøkte å samle inn GitHub-legitimasjon, autentiseringstokener, sky-API-nøkler, kryptolommebokinformasjon og konfigurasjonsfiler som inneholdt hemmeligheter.
Forskere oppdaget også at angripere brukte desentraliserte kommunikasjonskanaler for å eksfiltrere stjålet informasjon, noe som gjorde oppdagelse og nedstenging av infrastrukturen betydelig vanskeligere. Enkelte varianter brukte ifølge rapporter kompromitterte GitHub-repositorier som sekundære eksfiltreringskanaler.
De infiserte pakkene kunne automatisk kjøre skadelige skript under installasjon, noe som gjorde at malware raskt kunne spre seg gjennom betrodde utviklingsarbeidsflyter og automatiserte pipelines.
Shai-Hulud-malware Fortsetter Å Utvikle Seg
Den nyeste hendelsen bygger videre på tidligere Shai-Hulud-bølger som allerede kompromitterte hundrevis av npm-pakker og tusenvis av repositorier i open source-økosystemet.
Forskere opplyste at operasjonen har utviklet seg betydelig siden de første kampanjene dukket opp. Tidligere angrep rettet seg ifølge rapporter mot miljøer knyttet til TanStack, Mistral AI, UiPath og andre store programvareplattformer.
Etterforskere advarte også om at nyere Shai-Hulud-varianter bruker sterkere obfuskeringsteknikker, persistensmekanismer og utvidet funksjonalitet for tyveri av skyopplysninger og utviklerinformasjon.
Enkelte versjoner forsøkte ifølge rapporter å etablere persistens gjennom utviklerverktøy og operativsystemtjenester, noe som gjorde at infeksjoner kunne overleve omstarter og enkelte saneringstiltak.
Sikkerhetsforskere mener angriperne fortsetter å forbedre malware for å styrke skjult aktivitet, automatisere spredning og øke mengden sensitiv informasjon som stjeles fra kompromitterte miljøer.
Supply Chain-angrep Fortsetter Å Øke
Den nyeste Shai-Hulud-bølgen viser de voksende risikoene rundt supply chain-angrep mot open source-økosystemer. Moderne applikasjoner er ofte avhengige av tusenvis av eksterne pakker, noe som skaper store muligheter for angripere til å kompromittere nedstrøms systemer gjennom betrodde avhengigheter.
Forskere advarte om at supply chain-angrep kan spre seg ekstremt raskt fordi skadelige pakker automatisk kan propagere gjennom utviklingspipelines, skymiljøer og produksjonssystemer før noen oppdager angrepet.
Sikkerhetseksperter oppfordret organisasjoner til å gjennomgå avhengigheter umiddelbart, rotere potensielt eksponerte opplysninger og overvåke CI/CD-miljøer for mistenkelig aktivitet. Forskere anbefalte også å begrense automatiske avhengighetsoppdateringer og styrke kontrollene rundt publiseringsarbeidsflyter for pakker.
Hendelsen viser også hvorfor utviklermiljøer har blitt attraktive mål for cyberkriminelle. Én enkelt kompromittert pakke kan potensielt eksponere tusenvis av organisasjoner og skymiljøer samtidig.
Konklusjon
Shai-Hulud-malwarekampanjen fortsetter å vokse etter hvert som angripere kompromitterer hundrevis av npm-pakker gjennom stadig mer avanserte supply chain-angrep. Forskere opplyste at den nyeste bølgen rettet seg mot utviklersystemer, CI/CD-miljøer, skyopplysninger og autentiseringshemmeligheter knyttet til moderne utviklingsarbeidsflyter.
Hendelsen viser også hvordan cyberkriminelle grupper fortsetter å forbedre supply chain-teknikker for å spre malware raskt gjennom betrodde open source-økosystemer. Samtidig er programvareavhengigheter dypt integrert i dagens utviklingsmiljøer, noe som øker presset på organisasjoner til å styrke pakkesikkerhet og overvåke tredjepartsrisikoer mer aggressivt.
0 responses to “Shai-Hulud-malware Rammer 600 npm-pakker I Nytt Angrep”