Wiz ha publicat els resultats de la seva anàlisi del cuc Shai-Hulud 2, que va publicar versions malicioses de més de 800 paquets, que sumen més de 100 milions de descàrregues, al repositori NPM. Després d'instal·lar un paquet infectat, el cuc activat busca dades sensibles, publica noves versions malicioses (en detectar un testimoni de connexió al directori NPM) i fa que les dades sensibles que es troben al sistema siguin accessibles públicament creant nous repositoris a GitHub.
Es van identificar més de 30 repositoris a GitHub que contenien dades interceptades pel cuc. Aproximadament el 70% d'aquests repositoris contenien un fitxer content.json, el 50% contenien un fitxer truffleSecrets.json i el 80% contenien un fitxer environment.json, que contenia claus d'accés, dades sensibles i variables d'entorn que es trobaven al sistema del desenvolupador que va instal·lar el paquet maliciós que contenia el cuc. Aquests repositoris també contenien aproximadament 400 fitxers actionsSecrets.json que contenien claus que es trobaven als entorns d'execució d'accions de GitHub.
Els fitxers contents.json contenien més de 500 credencials i tokens únics per connectar-se a GitHub. Els fitxers truffleSecrets.json contenien dades sensibles descobertes en executar la utilitat TruffleHog al sistema compromès. La utilitat recopila més de 800 tipus de dades, incloses claus d'accés, claus de xifratge, contrasenyes i tokens utilitzats en diversos serveis, entorns de núvol, productes i sistemes de gestió de bases de dades. En total, es van trobar més de 400 registres únics a truffleSecrets.json, dels quals aproximadament el 2.5% (~10000) es van verificar.
Es creu que la informació confidencial filtrada podria convertir-se en el punt de partida d'una nova onada d'atacs, ja que gran part de les dades continuen sent vàlides. Per exemple, una auditoria va mostrar que el 60% dels tokens d'accés NPM capturats de sistemes infectats pel cuc continuen sent vàlids.
L'informe també proporciona estadístiques generals basades en una anàlisi de les variables d'entorn dels sistemes afectats. El 23% dels llançaments de cucs es van produir en màquines de desenvolupadors i el 77% es van produir en entorns d'integració contínua (60% GitHub Actions, 5% Jenkins, 5% GitLab CI, 3% AWS CodeBuild). El 87% dels sistemes utilitzats Linux, 12% — macOS i un 1% - WindowsEl 76% dels llançaments es van fer en contenidors, el 13% en sistemes principals.
El 60% de totes les infeccions es van produir a causa de la instal·lació de versions malicioses dels paquets @postman/tunnel-agent-0.6.7 i @asyncapi/specs-6.8.3. En el 99% dels casos, el cuc es va activar executant l'ordre "node setup_bun.js", especificada a la secció de preinstal·lació de package.json (l'1% restant probablement va ser el resultat d'intents de prova).
Font: opennet.ru
