O Shai-Hulud surgiu pela primeira vez em setembro, revelado pela descoberta de que dezenas de bibliotecas npm, incluindo uma biblioteca colorida com mais de 2 milhões de downloads por semana, foram substituídas por versões maliciosas.
A onda inicial de Shai-Hulud já era um dos mais graves ataques à cadeia de suprimentos de JavaScript que o Wiz já viu, disse Merav Bar, pesquisador de ameaças à empresa e coautor do relatório. OSC. “Esta nova onda é maior e mais rápida: mais de 25.000 repositórios criados por invasores em cerca de 350 usuários do GitHub, crescendo em cerca de 1.000 repositórios a cada 30 minutos, com malware que rouba credenciais de desenvolvedor e de nuvem e é executado na fase de pré-instalação, afetando máquinas de desenvolvimento e pipelines de CI/CD. Essa combinação de escala, velocidade e acesso torna-a uma campanha de alto impacto.”
Assumir compromisso
Se um indivíduo tivesse retirado algum dos pacotes afetados durante o período de 21 a 23 de novembro, disse ela, deveria presumir que seu ambiente estava exposto. As soluções incluem limpar o cache npm em sua estação de trabalho, remover node_modulesreinstalando a partir de versões limpas ou fixando em versões publicadas antes dos lançamentos maliciosos e girando quaisquer tokens ou segredos que estivessem presentes (PATs do GitHub, tokens npm, chaves SSH, credenciais de nuvem).
