Nova prijetnja u svijetu cyber sigurnosti
Nakon prošlogodišnjeg kvara u kompaniji CrowdStrike, softverski dobavljač ponovo se suočava s ozbiljnom prijetnjom: samoreplicirajućim crvom nazvanim Shai-Hulud. Malware je kompromitovao oko 25 kodnih paketa povezanih s CrowdStrike-om i nastoji se širiti kroz Node Package Manager (NPM), široko korišćenu bazu JavaScript modula.
Crv se ubacuje u developerske mašine putem NPM-a, krade pristupne podatke i objavljuje ukradene informacije na javnom GitHub fajlu koji sadrži ime Shai-Hulud. Kada je zaražen račun, malver traži "access tokens" koji omogućavaju preuzimanje NPM sadržaja bez korisničkog imena i lozinke, a potom inficira 20 najpopularnijih paketa vezanih za taj nalog.
"This creates a cascading effect where an infected package leads to compromised maintainer credentials, which in turn infects all other packages maintained by that user," said StepSecurity researcher Ashish Kurmi.
Sigurnosni stručnjaci opisuju Shai-Hulud kao rijedak primjer samoreplicirajućeg crva. "first of its kind self-replicating worm." So far, preliminary podaci navode da je pogođeno najmanje 187 NPM modula, uključujući 25 pod upravom CrowdStrike-a. Zanimljivo je da malver pretpostavlja Linux ili Mac okruženje i namjerno zaobilazi Windows računare.
NPM i CrowdStrike su brzo uklonili inficirane pakete, što je usporilo širenje. "After detecting several malicious NPM packages in the public NPM registry, a third-party open source repository, we swiftly removed them and proactively rotated our keys in public registries," a CrowdStrike representative told The Hacker News.
Stručnjaci upozoravaju da se ovakav crv može dugo zadržati neaktivan i ponovno pokrenuti širenje ako jedna osoba slučajno postane zaražena. "I would think of this attack as a 'living' thing almost, like a virus," he warned. "Because it can lay dormant for a while, and if just one person is suddenly infected by accident, they could restart the spread. Especially if there’s a super-spreader attack."
