O segundo ataque Shai-Hulud, ocorrido na semana passada, expôs cerca de 400 mil segredos brutos ao infectar centenas de pacotes no registro NPM (Node Package Manager) e ao publicar dados roubados em 30 mil repositórios no GitHub.
Embora apenas cerca de 10 mil desses segredos expostos tenham sido validados como legítimos pela ferramenta open source de análise TruffleHog, pesquisadores da plataforma de segurança em nuvem Wiz afirmam que mais de 60% dos tokens NPM vazados ainda estavam ativos em 1º de dezembro.
A ameaça Shai-Hulud surgiu em meados de setembro, comprometendo 187 pacotes do NPM com uma payload maliciosa autorreplicante.
Esse payload identificava tokens de conta usando o TruffleHog, injetava um script malicioso nos pacotes e publicava automaticamente as versões infectadas na plataforma.
No segundo ataque, o malware afetou mais de 800 pacotes (considerando todas as versões infectadas) e incluiu um mecanismo destrutivo, capaz de apagar o diretório home da vítima caso certas condições fossem atendidas.
A análise da Wiz sobre o vazamento de segredos espalhado pelo Shai-Hulud 2.0 em mais de 30 mil repositórios no GitHub revelou os seguintes tipos de informações expostas:
- Cerca de 70% dos repositórios continham o arquivo contents.json, com nomes de usuários do GitHub, tokens e snapshots de arquivos.
- Metade deles incluíam o arquivo truffleSecrets.json, com resultados das varreduras do TruffleHog.
- Em 80% havia o arquivo environment.json, contendo dados do sistema operacional, metadados de CI/CD, informações dos pacotes NPM e credenciais do GitHub.
- Quatrocentos repositórios armazenavam o arquivo actionsSecrets.json, com segredos dos workflows do GitHub Actions.
A Wiz ressalta que o malware usava o TruffleHog sem a flag ‘-only-verified’, o que significa que os 400 mil segredos expostos correspondem a formatos conhecidos, mas podem não ser mais válidos ou utilizáveis atualmente.
“Embora os dados de segredos sejam muito ruidosos e exijam um esforço intenso de deduplicação, eles ainda contêm centenas de segredos válidos, incluindo tokens de nuvem, NPM e credenciais de VCS”, explicou a Wiz.
“Até agora, essas credenciais representam um risco ativo para novos ataques à cadeia de suprimentos.
Por exemplo, observamos que mais de 60% dos tokens NPM vazados continuam válidos.”
A análise de 24 mil arquivos environment.json mostrou que cerca de metade era única, sendo 23% vinculados a máquinas de desenvolvedores e o restante proveniente de runners de CI/CD e infraestrutura similar.
Os dados indicam que a maioria dos sistemas infectados — 87% — rodava Linux, e 76% das infecções ocorreram dentro de containers.
Na distribuição por plataforma CI/CD, o GitHub Actions foi o mais afetado, seguido por Jenkins, GitLab CI e AWS CodeBuild.
Quanto à distribuição das infecções por pacote, o mais comprometido foi o @postman/[email protected], seguido por @asyncapi/[email protected].
Esses dois pacotes, juntos, representaram mais de 60% do total de infecções.
Devido a essa concentração, os pesquisadores afirmam que o impacto do Shai-Hulud poderia ter sido significativamente reduzido caso alguns pacotes-chave tivessem sido identificados e neutralizados precocemente.
No padrão de infecção, 99% dos casos ocorreram durante o evento preinstall, que executava o comando node setup_bun.js; as poucas exceções parecem ter sido tentativas de teste.
A Wiz acredita que os responsáveis pelo Shai-Hulud continuarão aprimorando e evoluindo suas técnicas.
A expectativa é que novas ondas de ataques surjam em breve, potencialmente utilizando a vasta base de credenciais capturadas até o momento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...