Shai Hulud surgió por primera vez en septiembrerevelado por el descubrimiento de que docenas de bibliotecas npm, incluida una biblioteca de colores con más de 2 millones de descargas por semana, habían sido reemplazadas por versiones maliciosas.
La ola inicial de Shai-Hulud ya fue uno de los ataques a la cadena de suministro de JavaScript más graves que Wiz haya visto. Bar Meravidijo un investigador de amenazas de la empresa y coautor del informe OSC. «Esta nueva ola es más grande y más rápida: más de 25.000 repositorios creados por atacantes en aproximadamente 350 usuarios de GitHub, creciendo en aproximadamente 1.000 repositorios cada 30 minutos, con malware que roba credenciales de desarrollador y de nube y se ejecuta en la fase de preinstalación, afectando a las máquinas de desarrollo y a los canales de CI/CD por igual. Esa combinación de escala, velocidad y acceso la convierte en una campaña de alto impacto».
Asumir compromiso
Si una persona hubiera retirado alguno de los paquetes afectados durante el período del 21 al 23 de noviembre, dijo, debería asumir que su entorno está expuesto. Los remedios incluyen borrar el caché npm en su estación de trabajo, eliminar módulos_nodoreinstalar desde versiones limpias o fijar versiones publicadas antes de los lanzamientos maliciosos y rotar cualquier token o secreto que estuviera presente (GitHub PAT, tokens npm, claves SSH, credenciales de nube).
In recent developments, the Shai Hulud malware first appeared in September, targeting numerous npm libraries, including a color package with over 2 million weekly downloads. This incident marked one of the most severe supply chain attacks on JavaScript reported by Wiz, according to threat researcher Bar Meravi, who co-authored the incident report titled OSC.
The subsequent wave of Shai Hulud malware is even more extensive and rapid, with over 25,000 repositories created by attackers across approximately 350 GitHub users. The number of affected repositories has reportedly been increasing by around 1,000 every 30 minutes. This malicious software is designed to steal developer and cloud credentials, executing during the pre-installation phase and impacting both development machines and CI/CD channels.
Given the scale, speed, and access of this attack, it presents a high-impact threat to users and their environments. For anyone who may have downloaded any affected packages between November 21 and 23, it is crucial to assume that their environment may be compromised. Recommended remedial actions include clearing the npm cache on the workstation, deleting node modules, reinstalling from clean versions or fixed prior to the malicious releases, and rotating any tokens or secrets that were in use, such as GitHub Personal Access Tokens, npm tokens, SSH keys, and cloud credentials.
This proactive approach is essential to mitigate potential damage and protect sensitive information from exploitation.