Shai Hulud 2.0, il worm se non riesce a sottrarre i dati, li cancella proprio!
La nuova variante del worm Shai Hulud 2.0 sfrutta l’ecosistema npm per colpire sviluppatori e aziende. Kaspersky segnala una funzione inedita che rende questa campagna ancora più insidiosa, soprattutto per chi utilizza strumenti open‑source senza controlli adeguati.
La minaccia nasce da pacchetti npm compromessi che, durante l’installazione, attivano un meccanismo su due stadi. Quando non riesce a sottrarre informazioni utili, il malware cancella i file nella directory home dell’utente.
L’obiettivo rimane la raccolta sistematica di credenziali. Il worm analizza le variabili d’ambiente alla ricerca di token GitHub, controlla i file della GitHub CLI e genera workflow yml che intercettano i segreti usati da GitHub Actions.
Interroga i servizi di metadati di AWS, Azure e Google Cloud, e scarica TruffleHog per analizzare ulteriormente il filesystem. Per l’esfiltrazione utilizza un repository GitHub pubblico creato con il token della vittima; se non lo trova, tenta di individuare repository già compromessi con la descrizione “Sha1-Hulud: The Second Coming.
“. Il repository generato ha un nome casuale di 18 caratteri e diventa il contenitore di tutte le credenziali sottratte.
Come si replica il worm
Shai Hulud 2.0 tenta di infettare nuovi pacchetti npm analizzando i file .npmrc alla ricerca di token validi. Dopo la verifica tramite l’endpoint /-/whoami, modifica fino a un centinaio di pacchetti mantenuti dalla vittima, inserisce i propri script tramite bundleAssets, aggiorna la versione e pubblica il risultato sul registry.
Quando non riesce a ottenere né un token npm né credenziali GitHub utilizzabili, attiva la funzione wiper e cancella i file nella home dell’utente. Kaspersky rileva questa famiglia come HEUR:Worm.Script.Shulud.gen.
Dall’inizio della campagna sono stati bloccati oltre 1.700 attacchi. Il 18,5% dei casi riguarda la Russia, il 10,7% l’India e il 9,7% il Brasile, con vittime distribuite in tutto il mondo tra singoli sviluppatori e organizzazioni.
Questa campagna mostra come la fiducia negli strumenti quotidiani porta spesso a ridurre l’attenzione sui controlli di sicurezza, e minacce come Shai Hulud 2.0 ricordano quanto invece sia sempre necessario riconsiderare queste abitudini.
Source link
