Wiz hat die Ergebnisse seiner Analyse des Shai-Hulud-2-Wurms veröffentlicht. Dieser hatte ĂŒber 800 schĂ€dliche Pakete mit insgesamt ĂŒber 100 Millionen Downloads im NPM-Repository veröffentlicht. Nach der Installation eines infizierten Pakets sucht der aktivierte Wurm nach sensiblen Daten, veröffentlicht neue schĂ€dliche Versionen (sobald er ein Verbindungstoken zum NPM-Verzeichnis erkennt) und macht die gefundenen sensiblen Daten durch das Erstellen neuer Repositories auf GitHub öffentlich zugĂ€nglich.
Auf GitHub wurden ĂŒber 30 Repositories identifiziert, die vom Wurm abgefangene Daten enthielten. UngefĂ€hr 70 % dieser Repositories enthielten eine content.json-Datei, 50 % eine truffleSecrets.json-Datei und 80 % eine environment.json-Datei. Letztere enthielt ZugriffsschlĂŒssel, sensible Daten und Umgebungsvariablen des Systems des Entwicklers, der das schĂ€dliche Paket mit dem Wurm installiert hatte. Diese Repositories enthielten auĂerdem etwa 400 actionsSecrets.json-Dateien mit SchlĂŒsseln aus GitHub Actions-AusfĂŒhrungsumgebungen.
Die contents.json-Dateien enthielten ĂŒber 500 eindeutige Zugangsdaten und Tokens fĂŒr die Verbindung zu GitHub. Die truffleSecrets.json-Dateien enthielten sensible Daten, die durch AusfĂŒhren des Tools TruffleHog auf dem kompromittierten System ermittelt wurden. Dieses Tool erfasst ĂŒber 800 Datentypen, darunter ZugriffsschlĂŒssel, VerschlĂŒsselungsschlĂŒssel, Passwörter und Tokens, die in verschiedenen Diensten, Cloud-Umgebungen, Produkten und Datenbankmanagementsystemen verwendet werden. Insgesamt wurden ĂŒber 400 eindeutige DatensĂ€tze in truffleSecrets.json gefunden, von denen etwa 2.5 % (~10000) verifiziert wurden.
Es wird befĂŒrchtet, dass die durchgesickerten vertraulichen Informationen den Ausgangspunkt fĂŒr eine neue Angriffswelle bilden könnten, da viele der Daten weiterhin gĂŒltig sind. So zeigte beispielsweise eine ĂberprĂŒfung, dass 60 % der von mit dem Wurm infizierten Systemen erfassten NPM-Zugriffstoken noch gĂŒltig sind.
Der Bericht enthĂ€lt auĂerdem allgemeine Statistiken, die auf einer Analyse der Umgebungsvariablen der betroffenen Systeme basieren. 23 % der Wurm-Auslösungen erfolgten auf Entwicklerrechnern und 77 % in Continuous-Integration-Umgebungen (60 % GitHub Actions, 5 % Jenkins, 5 % GitLab CI, 3 % AWS CodeBuild). 87 % der verwendeten Systeme Linux, 12 % â macOS und 1% - Windows76 % der Starts erfolgten in Containern, 13 % in Hauptsystemen.
60 % aller Infektionen erfolgten durch die Installation schĂ€dlicher Versionen der Pakete @postman/tunnel-agent-0.6.7 und @asyncapi/specs-6.8.3. In 99 % der FĂ€lle wurde der Wurm durch AusfĂŒhren des Befehls ânode setup_bun.jsâ aktiviert, der im Abschnitt âpreinstallâ der package.json-Datei angegeben war (die restlichen 1 % resultierten wahrscheinlich aus Testversuchen).
Source: opennet.ru
