Shai-Hulud diventa più cattivo: elimina file se non trova niente da rubare

Shai-Hulud diventa più cattivo: elimina file se non trova niente da rubare

La versione 2.0 del worm scoperto a settembre si arricchisce di una funzionalità subdola: quando non ci sono informazioni da sottrarre, innesca un modulo wiper che elimina il contenuto della directory home dell'utente

di pubblicata il , alle 15:01 nel canale Sicurezza
 

La società di sicurezza informatica Kaspersky ha pubblicato l'analisi di Shai Hulud 2.0, l'evoluzione del worm che sfrutta l’ecosistema npm per diffondersi e colpire sviluppatori e aziende. La prima versione di Shai Hulud era emersa a settembre, ma la nuova variante aggiunge una funzionalità più subdola: quando non sono disponibili informazioni o dati da rubare, il worm ricorre ad un modulo "wiper" che elimina i file presenti nella directory principale dell'utente.

Il malware segue una struttura a due stadi. L’ingresso in un sistema avviene tramite pacchetti npm compromessi: durante l’installazione, lo script setup_bun.js viene eseguito nella fase preinstall. Si presenta come un semplice installer del runtime Bun, completo di commenti e codice non offuscato, ma serve in realtà a predisporre l’ambiente per il payload vero e proprio. Una volta installato Bun, parte l’esecuzione di bun_environment.js, uno script di 10 MB pesantemente offuscato che contiene il codice del worm vero e proprio.

L’obiettivo di Shai Hulud 2.0 rimane, come nella precedente versione, la raccolta sistematica di informazioni riservate. Il malware cerca token GitHub nelle variabili d’ambiente e nei file della GitHub CLI, crea workflow yml malevoli per intercettare segreti di GitHub Actions, e tenta di ottenere credenziali cloud interrogando i servizi di metadati di AWS, Azure e Google Cloud. Scarica inoltre TruffleHog per scansionare il filesystem alla ricerca di ulteriori credenziali.

L’esfiltrazione avviene tramite un repository GitHub pubblico creato con il token della vittima. Se il token non è disponibile, il malware cerca repository già compromessi con la descrizione “Sha1-Hulud: The Second Coming.” per recuperare credenziali rubate ad altri utenti. Il repository generato, con nome casuale di 18 caratteri, diventa il contenitore di tutti i dati sottratti.

Parallelamente, il worm tenta di replicarsi infettando a sua volta pacchetti npm: scansiona file .npmrc alla ricerca di token validi, li verifica tramite l’endpoint /-/whoami e, se ottiene conferma, modifica fino a un centinaio di pacchetti mantenuti dalla vittima. Inserisce i propri script tramite bundleAssets, aggiorna la versione e ripubblica il pacchetto compromesso sul registry.

Se non riesce né a ottenere un token npm né a recuperare credenziali GitHub utilizzabili, il malware si "indispettisce" e passa alla distruzione dei dati, cancellando principalmente file nella home directory.

Kaspersky rileva la famiglia come HEUR:Worm.Script.Shulud.gen. Dall’inizio della campagna a oggi, sono stati bloccati oltre 1700 attacchi: il 18,5% in Russia, il 10,7% in India e il 9,7% in Brasile, con vittime distribuite in tutto il mondo tra sviluppatori individuali e organizzazioni. Kaspersky continua a monitorare l’attività attraverso il proprio feed dedicato alle minacce legate all’open source, che include l’elenco completo dei pacchetti compromessi e di altri componenti che presentano comportamenti sospetti o capacità non dichiarate.

Questo tipo di minaccia mostra quanto l’ecosistema open-source, pur essendo essenziale per lo sviluppo moderno, rimanga un terreno esposto a compromissioni mirate che sfruttano la fiducia implicita negli strumenti e nei flussi di lavoro quotidiani.

I migliori sconti su Amazon oggi
-17%

Amazfit Active 2 Smart Watch 44mm, AI, Controllo Vocale, GPS e Mappe incluse, Batteria da 10 Giorni, 160+ Modalità Sportive, Resistente allAcqua 5 ATM per Android e iPhone, Nero

99.90 82.90 Compra ora
-40%

FRITZ!Repeater 600 Edition International, Ripetitore - Wi-Fi extender fino a 600 Mbit/s (2,4 GHz), Mesh, Access Point, Interfaccia in italiano

49.99 29.99 Compra ora
-40%

LEFANT M330Pro Robot Aspirapolvere Lavapavimenti con Mappatura, Navigazione dToF, Zona vietata, Evitamento ostacoli PSD, Aspirazione 5000Pa, 150 minuti, Pulizia programmata, Alexa/APP/WiFi,Nero

140.33 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^