Säkerhetsforskare har identifierat en tredje variant av Shai-Hulud-malware, vilket bekräftar att hotet mot leveranskedjan fortsätter att utvecklas. Upptäckten tyder på att aktörerna bakom kampanjen fortfarande är aktiva och fortsätter att förfina sina metoder efter att tidigare versioner avslöjats. Även utan ett storskaligt utbrott visar förekomsten av denna nya variant på kvarstående risker i miljöer för öppen källkodsutveckling.
Shai-Hulud-malware förblir farligt eftersom det riktar in sig på förtroendebaserade system snarare än att utnyttja programvarusårbarheter direkt. Genom att missbruka utvecklares arbetsflöden och automatiserade installationsprocesser för paket kan malwaren spridas i det tysta och undvika traditionella säkerhetskontroller.
Vad är Shai-Hulud-malware
Shai-Hulud-malware är ett maskliknande hot mot leveranskedjan som är utformat för att spridas via komprometterade open source-paket. Det dök först upp med fokus på JavaScript-ekosystem, där angripare injicerade skadlig kod i flitigt använda beroenden. När malwaren installerades samlade den in känsliga autentiseringsuppgifter som gjorde det möjligt för angriparna att utöka sin räckvidd.
Tidigare kampanjer visade hur Shai-Hulud-malware kunde stjäla autentiseringstoken, molnuppgifter och CI/CD-hemligheter. Angriparna använde därefter dessa uppgifter för att kompromettera ytterligare arkiv och publicera fler infekterade paket, vilket möjliggjorde snabb självpropagering i utvecklingskedjor.
Upptäckten av den tredje varianten
Forskare har nyligen upptäckt en tredje variant av Shai-Hulud-malware som var inbäddad i ett enda open source-paket. Till skillnad från tidigare vågor som spreds aggressivt verkar denna version ha en mer begränsad räckvidd. Den begränsade spridningen tyder på tester, vidareutveckling eller förberedelser inför en större kampanj.
Analysen visade förändringar i exekveringslogik och filstruktur, sannolikt avsedda att minska risken för upptäckt. Forskarna identifierade även kodbrister som kan begränsa funktionaliteten, men dessa svagheter eliminerar inte hotet. Även delvis fungerande varianter ger värdefull insikt i angriparnas utvecklingsstrategier.
Hur Shai-Hulud-malware fungerar
Liksom tidigare versioner körs Shai-Hulud-malware under installationsprocessen för paket. Skadliga skript körs automatiskt och söker igenom systemet efter miljövariabler, åtkomsttoken och autentiseringshemligheter. Dessa uppgifter exfiltreras därefter till platser som kontrolleras av angriparna.
I tidigare kampanjer gjorde de stulna uppgifterna det möjligt för angriparna att kompromettera ytterligare projekt och återpublicera infekterade paket. Detta självpropagerande beteende gör malwaren särskilt farlig i automatiserade CI/CD-miljöer, där komprometterade hemligheter kan påverka flera system samtidigt.
Konsekvenser för leveranskedjesäkerhet
Framväxten av en tredje variant av Shai-Hulud-malware förstärker de växande farhågorna kring säkerheten i mjukvaruleveranskedjor. Open source-ekosystem bygger på snabbhet, återanvändning och förtroende, men just dessa egenskaper skapar också möjligheter för missbruk när beroenden komprometteras.
Hotet visar hur angripare kan kringgå traditionella perimeterförsvar genom att rikta in sig på utvecklare och byggkedjor. Även organisationer med stark infrastruktursäkerhet förblir sårbara om infekterade beroenden når produktion utan att upptäckas.
Slutsats
Upptäckten av en tredje variant av Shai-Hulud-malware bekräftar att kampanjen fortsatt är aktiv och anpassningsbar. Även om denna version inte har orsakat omfattande störningar signalerar den fortsatt experimenterande från angriparnas sida. Utvecklare och organisationer måste stärka hanteringen av autentiseringsuppgifter, övervaka beroenden noggrant och behandla leveranskedjesäkerhet som en löpande prioritet. Shai-Hulud-malware fungerar som en tydlig varning om att förtroendebaserade ekosystem kräver ständig vaksamhet.
0 svar till ”Shai-Hulud-skadlig kod utvecklas med en tredje variant i leveranskedjan”