Novo worm Shai-hulud infecta pacotes npm com milhões de downloads

O ReversingLabs descobriu o "Shai-hulud", um worm de computador autorreplicante no registro de código aberto npm. Descubra como o malware rouba segredos de desenvolvedores, expõe código privado e se espalha por meio de pacotes populares como ngx-bootstrap e @ctrl/tinycolor.

Um novo e perigoso worm de computador autorreplicante, chamado Shai-hulud, foi descoberto no registro de código aberto do Node Package Manager ( npm ) (uma enorme biblioteca onde os desenvolvedores compartilham e usam pedaços de código JavaScript).

A empresa de segurança ReversingLabs (RL), que compartilhou suas descobertas com o Hackread.com, identificou o worm em 15 de setembro, alegando ser a primeira vez que um worm desse tipo foi encontrado na plataforma. O nome Shai-hulud vem do próprio repositório do código malicioso e é uma referência aos vermes de areia gigantes da popular série de ficção científica "Duna".

O Shai-hulud se espalha assumindo o controle da conta npm de um desenvolvedor e adicionando secretamente código nocivo aos pacotes de código públicos e privados gerenciados pelo desenvolvedor. Uma vez infectado, o pacote pode espalhar o worm para qualquer pessoa que o baixe e utilize.

Isso o torna especialmente perigoso, pois muitos projetos de software dependem de pacotes da rede npm. Um único pacote comprometido pode infectar rapidamente uma ampla rede de outros projetos.

O primeiro pacote comprometido, rxnt-authentication, foi infectado em 14 de setembro e, portanto, seu mantenedor, techsupportrxnt, é considerado o Paciente Zero desta campanha. Este é um termo usado para descrever a primeira pessoa/sistema identificado como a fonte de uma infecção.

À medida que a equipe de pesquisa da RL continua monitorando o problema, centenas de pacotes npm já foram comprometidos, alguns dos quais são muito populares, com milhões de downloads semanais. Por exemplo, o worm infectou ngx-bootstrap , que tem 300.000 downloads semanais, e @ctrl/tinycolor , com 2,2 milhões de downloads semanais, tornando esta uma violação de segurança de alto impacto.

O worm Shai-hulud rouba informações importantes, como tokens de serviços de nuvem e código privado. Ele tem como alvo específico chaves para serviços como npm, GitHub , AWS e GCP (Google Cloud Platform). A pesquisa também revela que o worm instala uma ferramenta chamada TruffleHog, que pode detectar mais de 800 tipos diferentes de segredos.

Além disso, ele pode tornar públicas as bibliotecas de código privadas de um usuário no GitHub. Uma busca recente por esses repositórios "migrados" gerou cerca de 700 resultados, expondo uma grande quantidade de código proprietário.

Embora a causa inicial exata do ataque não seja conhecida, a ReversingLabs observa que seus métodos são semelhantes aos de uma campanha anterior em agosto, sugerindo que os invasores podem ter usado engenharia social ou explorado vulnerabilidades em ferramentas de desenvolvedor.

A ReversingLabs tem contatado o maior número possível de desenvolvedores afetados, mas, como o worm está se espalhando tão rápido, é impossível alertar a todos. A empresa aconselha os desenvolvedores a verificarem suas contas públicas do GitHub em busca de qualquer atividade suspeita, como novos repositórios que não criaram ou repositórios privados que se tornaram públicos repentinamente.