Shai-Hulud è il worm auto-replicante che ruba credenziali e token degli sviluppatori e li pubblica su GitHub

Almeno 187 pacchetti di codice distribuiti tramite il repository JavaScript NPM risultano infetti da un worm auto-replicante che ruba credenziali dagli sviluppatori e le pubblica su GitHub. Questa nuova minaccia informatica è già stata battezzata "Shai-Hulud" in oore dei vermi delle sabbie descritti da Frank Herbert nella saga di Dune... e anche perché le credenziali rubate vengono pubblicate in un repository che contiene proprio il nome Shai-Hulud.

Secondo socket.dev, Shai-Hulud avrebbe compromesso almeno 25 pacchetti NPM gestiti da CrowdStrike. L’azienda ha confermato la vicenda in una nota: i pacchetti infetti sono stati rimossi rapidamente ed è stata effettuata una rotazione delle chiavi. CrowdStrike ha chiarito che il proprio servizio di rilevamento minacce Falcon non è stato coinvolto dall’attacco e non ha subito impatti, garantendo la protezione dei clienti.

Il funzionamento del worm è molto semplice: una volta installato un pacchetto compromesso, il malware cerca un token NPM nell’ambiente di sviluppo. Se lo trova, modifica automaticamente i 20 pacchetti più popolari accessibili da quel token, inserendo al loro interno il proprio codice e pubblicando nuove versioni infette. In questo modo, ogni installazione diventa un nuovo punto di propagazione. Il primo pacchetto alterato dal worm, secondo le analisi effettuate dal ricercatore di sicurezza Charlie Eriksen di Aikido, risale al 14 settembre scorso alle ore 17:58 UTC.

Un’analisi di StepSecurity ha rivelato che, in scenari cloud, il malware è in grado di individuare e rubare credenziali relative a AWS, Azure e Google Cloud Platform. Inoltre, l’intero attacco sembra mirato a sistemi Linux e macOS, evitando deliberatamente l’esecuzione su Windows. L’effetto a cascata delineato dal ricercatore Ashish Kurmi mostra come un singolo pacchetto infetto possa compromettere l’intero ecosistema di uno sviluppatore, diffondendo il worm a tutte le librerie gestite dallo stesso mantenitore.

Nonostante nelle ultime ore la propagazione sembri essersi ridotta, gli analisti di sicurezza mettono in guardia: basta un singolo sviluppatore infetto per causare una nuova ondata. Eriksen definisce Shai-Hulud una minaccia “vivente”, capace di restare dormiente e riattivarsi imprevedibilmente. Attualmente, l’indirizzo utilizzato dagli attaccanti per esfiltrare i dati raccolti sarebbe stato disattivato a causa di limiti di traffico.

L’attacco è solo l'ultimo episodio di una serie che negli ultimi mesi ha interessato il registro NPM. Appena pochi giorni fa, un’altra campagna aveva preso di mira gli sviluppatori con email di phishing che imitavano una richiesta proveniente da NPM, chiedendo di aggiornare le opzioni di autenticazione a più fattori. Quell’operazione aveva portato all’inserimento di malware in almeno due dozzine di pacchetti, focalizzata però sul furto di criptovalute. Ancora prima, ad agosto, la compromissione dell’account di uno sviluppatore aveva interessato “nx”, un toolkit che conta fino a sei milioni di download settimanali. In quel caso, il codice malevolo non si diffondeva autonomamente, ma raccoglieva token di autenticazione, chiavi SSH e API, pubblicandoli direttamente in un repository GitHub della vittima.

A differenza di quel precedente, Shai-Hulud include strumenti di ricognizione automatizzata per facilitare la diffusione. Sfrutta, tra gli altri, l’utility open source TruffleHog, usata per cercare credenziali e token esposti all’interno del sistema dello sviluppatore infetto. Successivamente, il worm crea nuove GitHub Actions e pubblica i segreti rubati. “Una volta compromesso il primo sviluppatore non c’era più modo di fermarlo”, ha commentato Eriksen, sottolineando la natura virale e persistente della minaccia.