top of page

Verme Auto-Replicante Ameaça Mais de 180 Pacotes de Software JavaScript

  • Foto do escritor: Internology Soluções em Marketing
    Internology Soluções em Marketing
  • 15 de out.
  • 2 min de leitura

Um novo e perigoso verme auto-replicante, apelidado de Shai-Hulud, está a infetar pacotes de software no repositório JavaScript NPM, roubando credenciais de desenvolvedores e publicando-as abertamente no GitHub. A ameaça já comprometeu pelo menos 187 pacotes, incluindo alguns da empresa de segurança CrowdStrike, levantando sérias preocupações sobre a segurança da cadeia de suprimentos de software.

ree

Principais Conclusões

  • Um verme auto-replicante, Shai-Hulud, infetou mais de 180 pacotes NPM.

  • O malware rouba credenciais de desenvolvedores e publica-as no GitHub.

  • Ataques anteriores de phishing e comprometimento de pacotes NPM precederam esta ameaça.

  • Especialistas recomendam autenticação de dois fatores (2FA) à prova de phishing para mitigar riscos.

A Ameaça Shai-Hulud

O verme Shai-Hulud, nomeado em homenagem às minhocas gigantes do universo "Duna", opera de forma insidiosa. Quando um desenvolvedor instala um pacote infetado, o malware procura por tokens de autenticação NPM no ambiente. Se encontrados, ele modifica os 20 pacotes mais populares aos quais o token dá acesso, copiando-se para eles e publicando novas versões alteradas.

Mecanismo de Propagação e Roubo de Dados

O Shai-Hulud utiliza ferramentas de código aberto como o TruffleHog para procurar credenciais expostas e tokens de acesso em máquinas de desenvolvedores. Ele tenta criar novas ações no GitHub e publicar os segredos roubados. O ataque foi projetado para ambientes Linux e macOS, ignorando deliberadamente sistemas Windows. A propagação ocorre através de tokens de autenticação NPM roubados, criando um efeito cascata onde o comprometimento de um pacote leva ao comprometimento de outros mantidos pelo mesmo usuário.

Impacto e Resposta

O ataque afetou brevemente pacotes geridos pela CrowdStrike, que foram rapidamente removidos pelo registo NPM. A CrowdStrike afirmou que os seus sistemas e clientes não foram impactados e que estão a investigar o incidente em colaboração com o NPM. Especialistas como Nicholas Weaver, do International Computer Science Institute, apelam a um modelo de publicação no NPM que exija consentimento humano explícito para cada pedido de publicação, utilizando métodos de 2FA à prova de phishing para conter ataques semelhantes.

Contexto de Ataques Anteriores

O surgimento do Shai-Hulud ocorre após uma campanha de phishing que se fez passar pelo NPM, levando os desenvolvedores a atualizar as suas opções de autenticação multifator. Esse ataque anterior resultou na inserção de malware em pelo menos duas dúzias de pacotes NPM, focando-se no roubo de criptomoedas. Além disso, no final de agosto, o comprometimento de um desenvolvedor NPM levou à adição de malware no pacote "nx", com milhões de downloads semanais, que visava roubar tokens de autenticação e publicá-los em repositórios GitHub públicos.

Estado Atual e Recomendações

Embora a propagação do Shai-Hulud pareça ter diminuído nas últimas horas, os especialistas alertam que o verme ainda pode estar ativo e capaz de recomeçar a sua disseminação. A desativação do endereço web usado para exfiltrar dados foi atribuída a limites de taxa. A comunidade de desenvolvimento é aconselhada a rever as suas credenciais, revogar tokens de acesso comprometidos e implementar práticas de segurança robustas, incluindo 2FA forte, para se protegerem contra futuras ameaças à cadeia de suprimentos.

Fontes

  • Self-Replicating Worm Hits 180+ Software Packages – Krebs on Security, Krebs on Security.

 
 
 

Comentários

bottom of page