Shy Hulud, que está a varrer o ecossistema JavaScript... a difundir-se autonomamente através do npm.

O código malicioso “Sandworm(Shai Hulud)” direcionado ao ecossistema de desenvolvimento JavaScript está em constante evolução, e o nível de ataques à cadeia de fornecimento de software foi comprovadamente elevado ainda mais. As análises mais recentes mostram que esse código malicioso superou o nível anterior de infiltração de pacotes de software isolados, sendo capaz de transformar os desenvolvedores em portadores inconscientes e de disseminação contínua da infecção, possuindo um sistema de auto-disseminação.

De acordo com um relatório divulgado pela empresa de segurança Expel, uma nova variante do sandworm possui uma estrutura que permite a infecção automática do ambiente de desenvolvedores e a re-distribuição através do registro npm que eles gerenciam. Este código malicioso executa pacotes npm infectados durante a fase de instalação, realizando a infecção em duas etapas. Primeiro, se o ambiente alvo não tiver o runtime JavaScript “Bun” instalado, ele será instalado automaticamente; em seguida, através de uma carga útil complexamente ofuscada, induz em segundo plano o roubo de credenciais, vazamento de dados e reinfecção.

Esta variante é especialmente notável pelo seu método de coleta de credenciais muito sofisticado. Ela utiliza o acesso direto ao AWS Secrets Manager, Microsoft Azure Key Vault, Google Cloud Secret Manager e outros principais sistemas de gerenciamento de segredos de infraestrutura em nuvem para extrair dados sensíveis de forma adicional. Foi confirmado que ela também coleta de forma abrangente tokens de publicação NPM, informações de autenticação do GitHub e até chaves de nuvem no próprio sistema local. A ferramenta utilizada nesse processo é o TruffleHog, que é uma ferramenta capaz de pesquisar automaticamente informações secretas codificadas em código-fonte, arquivos de configuração, registros do Git, entre outros.

A tática mais típica dos vermes de areia é o abuso da infraestrutura do GitHub. Ao contrário do método anterior de conectar código malicioso a servidores de comando e controle (C2), esse código malicioso faz o upload das informações roubadas para repositórios públicos e registra os dispositivos infectados como executores auto-hospedados do GitHub Actions. Isso permite que externos tenham acesso remoto contínuo, com os atacantes usando as contas de desenvolvedores infectados como armas para injetar código malicioso em outros pacotes e expandir a infecção ao re-registrar automaticamente as versões alteradas no npm.

Relatório indica que, até ao momento, estima-se que mais de 25.000 repositórios estejam infectados, com centenas de pacotes afetados. Entre eles, estão ferramentas populares amplamente utilizadas pela comunidade de código aberto.

A expulsão através deste caso serve como um aviso de que a “camada de confiança” da segurança da cadeia de fornecimento de software não é mais uma zona segura. Embora o Sandworm tenha atacado o ecossistema JavaScript, outras comunidades de linguagens com bases de confiança semelhantes, como Python(PyPI), Ruby(RubyGems) e PHP(Composer), também podem estar expostas a ataques semelhantes. O surgimento de malware de auto-disseminação direcionado ao ecossistema de ferramentas de desenvolvimento pode, no futuro, provocar ameaças mais persistentes e abrangentes, algo que devemos ter em mente.