Microsoft a emis o alertă urgentă cu privire la Shai-Hulud 2.0, un vierme care se auto-replică și pe care cercetătorii în securitate îl numesc unul dintre cele mai semnificative vulnerabilități ale ecosistemului cloud-nativ observate recent. Atacul a infectat peste 25.000 de depozite GitHub și a compromis sute de pachete software, determinând gigantul tehnologic să îndemne organizațiile să schimbe imediat parolele și să revoce acreditările expuse.
Echipa de Cercetare în Securitate Microsoft Defender a publicat îndrumări pe 8 decembrie, avertizând că viermele lanțului de aprovizionare vizează chei API pentru Amazon Web Services, Google Cloud Platform și Microsoft Azure prin executarea de cod maliţios în timpul fazei de pre-instalare a pachetelor gestionate de npm—înainte ca protocoalele de securitate să se poată activa. “Campania Shai‑Hulud 2.0 se bazează pe încălcări anterioare ale lanțului de aprovizionare, dar introduce automatizare îmbunătățită, propagare mai rapidă și o gamă mai largă de ținte,” potrivit alertei Microsoft.
Victime de profil înalt și amenințare în expansiune
Atacul a compromis organizații proeminente, inclusiv Zapier, ENS, AsyncAPI, PostHog și Postman, cu sute de pachete npm ale CrowdStrike fiind, de asemenea, afectate pe scurt pe măsură ce virusul s-a răspândit prin ecosistem. Cercetătorul în securitate Adi Bleih de la Check Point a descris atacul ca fiind neobișnuit de agresiv, explicând că „prin inițierea acțiunilor înainte ca instalarea să fie finalizată și prin extragerea secretelor în depozite controlate de atacatori pe GitHub, autorii au obținut rapid acces la o cantitate substanțială de credențiale cloud și de dezvoltator”.
Ken Johnson, director de tehnologie la DryRun Security, a confirmat că Shai-Hulud 2.0 marchează al treilea atac legat de un grup de amenințare cunoscut sub numele de S1ngularity. „A doua iterație a virusului Shai-Hulud indică faptul că atacatorii își rafinează metodele și învață din erorile anterioare”, a menționat Johnson, adăugând că aceasta reprezintă o „campanie extrem de periculoasă și perturbatoare”.
Răspuns urgent necesar
Microsoft îndeamnă organizațiile să acționeze rapid prin revocarea sau rotirea acreditărilor expuse înainte ca atacatorii să le poată reutiliza, izolarea mediilor CI/CD compromise pentru a opri propagarea ulterioară și stabilirea autentificării cu doi factori pentru orice acțiuni de scriere și publicare. Microsoft Defender for Cloud și Defender XDR au semnalat campania malițioasă încă de la început cu notificări precum “Utilizare suspectă a comenzii shred pe fișiere ascunse” și “Campanie Sha1-Hulud detectată – Posibilă injectare de comenzi pentru exfiltrarea acreditărilor”.
Agenția pentru Securitate Cibernetică și Infrastructură a S.U.A. a emis o avertizare similară în septembrie, în urma valului inițial de atacuri, îndemnând dezvoltatorii să-și examineze temeinic sistemele pentru pachete afectate și să șteargă imediat acreditările dezvoltatorilor compromise. Conform cercetătorilor Check Point, campania a dus la expunerea a 775 de tokenuri de acces GitHub, 373 de acreditări AWS, 300 de acreditări Google Cloud și 115 acreditări Azure.
Surse:
https://cybernews.com/security/shai-hulud-2-supply-chain-worm-microsoft/