Wiz ha publicado los resultados de su análisis del gusano Shai-Hulud 2, que publicó versiones maliciosas de más de 800 paquetes, con un total de más de 100 millones de descargas, en el repositorio de NPM. Tras instalar un paquete infectado, el gusano activado busca datos confidenciales, publica nuevas versiones maliciosas (al detectar un token de conexión al directorio de NPM) y publica los datos confidenciales encontrados en el sistema mediante la creación de nuevos repositorios en GitHub.
Se identificaron en GitHub más de 30 000 repositorios con datos interceptados por el gusano. Aproximadamente el 70 % de estos repositorios contenían un archivo content.json, el 50 % un archivo truffleSecrets.json y el 80 % un archivo environment.json, que contenía claves de acceso, datos confidenciales y variables de entorno presentes en el sistema del desarrollador que instaló el paquete malicioso que contenía el gusano. Estos repositorios también contenían aproximadamente 400 archivos actionsSecrets.json con claves encontradas en entornos de ejecución de GitHub Actions.
Los archivos contents.json contenían más de 500 credenciales y tokens únicos para conectarse a GitHub. Los archivos truffleSecrets.json contenían datos confidenciales descubiertos al ejecutar la utilidad TruffleHog en el sistema comprometido. Esta utilidad recopila más de 800 tipos de datos, incluyendo claves de acceso, claves de cifrado, contraseñas y tokens utilizados en diversos servicios, entornos de nube, productos y sistemas de gestión de bases de datos. En total, se encontraron más de 400 registros únicos en truffleSecrets.json, de los cuales aproximadamente el 2.5 % (unos 10000) fueron verificados.
Se cree que la información confidencial filtrada podría ser el punto de partida de una nueva ola de ataques, ya que gran parte de los datos siguen siendo válidos. Por ejemplo, una auditoría mostró que el 60 % de los tokens de acceso a NPM capturados de los sistemas infectados por el gusano siguen siendo válidos.
El informe también proporciona estadísticas generales basadas en un análisis de las variables de entorno de los sistemas afectados. El 23 % de las ejecuciones de gusanos se produjeron en equipos de desarrolladores y el 77 % en entornos de integración continua (60 % en GitHub Actions, 5 % en Jenkins, 5 % en GitLab CI y 3 % en AWS CodeBuild). El 87 % de los sistemas utilizaban Linux, el 12 % en macOS y el 1 % en Windows. El 76 % de las ejecuciones se produjeron en contenedores y el 13 % en sistemas host.
El 60 % de las infecciones se debieron a la instalación de versiones maliciosas de los paquetes @postman/tunnel-agent-0.6.7 y @asyncapi/specs-6.8.3. En el 99 % de los casos, el gusano se activó al ejecutar el comando "node setup_bun.js", especificado en la sección de preinstalación de package.json (el 1 % restante probablemente se debió a intentos de prueba).
Fuente: opennet.ru
