Ġie skopert it-tieni attakk fuq pakketti fir-repożitorju tal-NPM, bl-użu ta' modifika tad-dudu Shai-Hulud li jippropaga lilu nnifsu u li jdaħħal malware fid-dipendenzi. L-attakk irriżulta fil-pubblikazzjoni ta' rilaxxi malizzjużi ta' 605 pakketti, kollettivament b'aktar minn 100 miljun download.
Biex iwettqu l-attakk, l-attakkanti użaw phishing biex jinterċettaw il-kredenzjali tal-mantenitur tal-kont ta’ pakkett popolari użat bħala dipendenza għal ħafna pakketti oħra. Bl-użu tal-kont maħtuf, l-attakkanti ppubblikaw rilaxx tal-pakkett li fih kodiċi li attiva d-dudu meta l-pakkett affettwat ġie installat bħala dipendenza. Ladarba jitnieda, id-dudu jfittex l-ambjent attwali għall-kredenzjali, iniżżel u jħaddem l-utilità TruffleHog.
Jekk jinstab token ta' konnessjoni tad-direttorju NPM, id-dudu jippubblika awtomatikament rilaxxi malizzjużi ġodda għal pakketti żviluppati fl-ambjent attwali. Dan jinfetta b'katina s-siġra tad-dipendenza kollha. Minbarra t-token NPM, id-dudu jaħżen ċwievet ta' aċċess għas-servizzi tal-cloud GitHub u AWS, Azure, u GCP (Google Cloud Platform), kif ukoll varjabbli tal-ambjent u dejta sensittiva oħra li tista' tiġi skoperta mill-iskaner TruffleHog.
Id-dejta sensittiva misjuba fis-sistema titqiegħed fuq GitHub billi jinħolqu repożitorji b'ismijiet każwali (eż., "qzx15djl71alh6p80h") u l-frażi "Sha1-Hulud: The Second Coming" fid-deskrizzjoni. Id-dejta hija wkoll kriptata u tinħareġ fil-logs tal-Azzjonijiet ta' GitHub. Ir-repożitorju maħluq fih fajl JSON (eż., jsonactionsSecrets.json jew contents.json) li fih string li fiha informazzjoni tas-sistema kkodifikata bil-base64, varjabbli tal-ambjent, u dejta maqbuda. Biex jikkomunika informazzjoni esternament minn sistemi ta' integrazzjoni kontinwa bbażati fuq GitHub, id-dudu joħloq handler tal-Azzjonijiet ta' GitHub bl-isem ".github/workflows/formatter_123456789.yml" u jikkonfigura runner bl-isem SHA1HULUD.
Id-differenzi minn attakk simili ta' Settembru jinżlu għal metodu differenti ta' kif jiddaħħal kodiċi malizzjuż fil-pakkett. Ir-rilaxxi malizzjużi ġġenerati mid-dudu jsostnu li jappoġġjaw il-pjattaforma Bun JavaScript. Il-kmand "node setup_bun.js" huwa miżjud mat-taqsima "preinstall" tal-fajl package.json, li jiddefinixxi l-iskripts li għandhom jitħaddmu qabel l-installazzjoni.
Il-fajl "setup_bun.js" fih kodiċi biex jiġi esegwit l-iskritt "bun_environment.js" offuskat, li fih il-kodiċi tad-dudu. Biex jippropaga, id-dudu jsib il-kodiċi tal-pakkett, jimmodifika l-fajl package.json (jżid in-numru tal-verżjoni u jinkludi sejħa għal setup_bun.js), iżid il-fajls setup_bun.js u bun_environment.js, jippakkja mill-ġdid il-pakkett, u jesegwixxi l-kmand "npm publish" biex juża r-rilaxx il-ġdid.
Pakketti popolari kompromessi jinkludu: @zapier/zapier-sdk (2.8 miljun download fil-ġimgħa), @posthog/core (2.8 miljun), posthog-node (1.5 miljun), @asyncapi/specs (1.4 miljun), u @postman/tunnel-agent (1.2 miljun). Huwa maħsub li l-attakk beda b'kompromess tal-manutentur tal-pakkett, @asyncapi/specs.
Sors: opennet.ru
