Firma de securitate cibernetică SlowMist a avertizat dezvoltatorii pe 29 decembrie că o nouă variantă a malware-ului de lanț de aprovizionare Shai-Hulud a reapărut, marcând a treia evoluție a unui vierme auto-replicant care fură acreditări cloud prin dependențe software de încredere.
Ultima tulpină, denumită Shai-Hulud 3.0, a fost descoperită de cercetătorul Aikido Security, Charlie Eriksen, pe 27 decembrie în pachetul NPM @vietmoney/react-big-calendar. Directorul de Securitate Informatică al SlowMist, cunoscut sub numele de 23pds, a emis o alertă în ziua următoare, îndemând platformele Web3 și echipele de dezvoltare să își consolideze imediat apărarea.
Atacul vizează cheile infrastructurii Cloud
Malware-ul infiltrează ecosistemul NPM—un manager de pachete utilizat pe scară largă pentru dezvoltarea JavaScript—ascunzându-se în pachete software cu aparență legitimă. Odată instalat, acesta colectează credențiale sensibile, inclusiv chei de acces AWS, Google Cloud Platform, Azure și GitHub, prin scanarea variabilelor de mediu și a fișierelor de configurare. Conform mai multor cercetători în domeniul securității, datele furate sunt exfiltrate către depozite GitHub controlate de atacatori cu descrierea „Goldox-T3chs: Only Happy Girl”.
Cercetătorii Unit 42 au remarcat că versiunile anterioare ale Shai-Hulud au compromis sute de pachete începând cu septembrie 2025, cu un al doilea val mai agresiv apărut în noiembrie, care a afectat peste 25.000 de depozite GitHub. Malware-ul folosește un mecanism asemănător unui vierme, răspândindu-se automat prin utilizarea token-urilor NPM furate pentru a publica versiuni infectate ale altor pachete întreținute de dezvoltatori compromisi.
Noua variantă prezintă rafinamente tehnice
Analiza lui Charlie Eriksen a relevat că Shai-Hulud 3.0 demonstrează diferențe notabile față de predecesorul său. Malware-ul folosește acum fișiere redenumite—bun_installer.js și environment_source.js—și a eliminat „comutatorul omului mort”, o funcționalitate distructivă din versiunea 2.0 care încerca să șteargă directorul home al victimei dacă furtul de credențiale eșua. Eriksen a remarcat că codul pare „obfuscat din nou din sursa originală, nu modificat în același loc”, sugerând că atacatorii au acces la codul sursă original al malware-ului.
În ciuda acestor îmbunătățiri tehnice, răspândirea actuală rămâne limitată. Conform rapoartelor KuCoin și Binance, atacul ar putea fi încă într-o fază de testare. Cu toate acestea, experții în securitate avertizează că atacurile asupra lanțului de aprovizionare pot scala rapid odată ce atacatorii confirmă stabilitatea payload-ului. JFrog Security Research a documentat că valul din noiembrie 2025 a compromis 796 de pachete în câteva zile.
Industria este îndemnat să auditeze dependențele
SlowMist și alte firme de securitate recomandă organizațiilor să auditeze imediat dependențele NPM, să blocheze versiunile pachetelor și să rotească credențialele care ar fi putut fi expuse. Cercetătorii recomandă utilizarea fixării exacte a versiunilor în loc de a permite actualizări automate, implementarea scanării continue a dependențelor și monitorizarea comportamentului anormal al rețelei în timpul procesului de build.
Reapariția Shai-Hulud urmează un model de atacuri din ce în ce mai sofisticate asupra lanțului de aprovizionare pe parcursul anului 2025. Cercetătorii în securitate au remarcat că un incident similar ar fi putut contribui la scurgerea cheii API a Trust Wallet, deși SlowMist a clarificat ulterior că acea breșă a provenit din modificarea directă a codului, mai degrabă decât dintr-o dependență compromisă.
Surse: