Wiz har publisert resultatene av analysen av Shai-Hulud 2-ormen, som publiserte skadelige utgivelser av over 800 pakker, totalt over 100 millioner nedlastinger, til NPM-depotet. Etter å ha installert en infisert pakke, søker den aktiverte ormen etter sensitive data, publiserer nye skadelige utgivelser (ved oppdagelse av et NPM-katalogtilkoblingstoken), og gjør de sensitive dataene som finnes i systemet offentlig tilgjengelige ved å opprette nye depoter på GitHub.
Mer enn 30 000 databaser som inneholdt data som ormen fanget opp, ble identifisert på GitHub. Omtrent 70 % av disse databasene inneholdt en content.json-fil, 50 % inneholdt en truffleSecrets.json-fil, og 80 % inneholdt en environment.json-fil, som inneholdt tilgangsnøkler, sensitive data og miljøvariabler som ble funnet på systemet til utvikleren som installerte den skadelige pakken som inneholdt ormen. Disse databasene inneholdt også omtrent 400 actionsSecrets.json-filer som inneholdt nøkler som ble funnet i GitHub Actions-utførelsesmiljøer.
contents.json-filene inneholdt over 500 unike påloggingsinformasjoner og tokener for tilkobling til GitHub. truffleSecrets.json-filene inneholdt sensitive data som ble oppdaget ved å kjøre TruffleHog-verktøyet på det kompromitterte systemet. Verktøyet samler inn over 800 datatyper, inkludert tilgangsnøkler, krypteringsnøkler, passord og tokener som brukes i ulike tjenester, skymiljøer, produkter og databaseadministrasjonssystemer. Totalt ble over 400 000 unike poster funnet i truffleSecrets.json, hvorav omtrent 2.5 % (~10 000) ble verifisert.
Det antas at den lekkede konfidensielle informasjonen kan bli utgangspunktet for en ny bølge av angrep, ettersom mye av dataene fortsatt er gyldige. For eksempel viste en revisjon at 60 % av NPM-tilgangstokenene som er fanget fra systemer infisert av ormen fortsatt er gyldige.
Rapporten gir også generell statistikk basert på en analyse av miljøvariabler fra de berørte systemene. 23 % av ormeoppstartene skjedde på utviklermaskiner, og 77 % skjedde i kontinuerlige integrasjonsmiljøer (60 % GitHub Actions, 5 % Jenkins, 5 % GitLab CI, 3 % AWS CodeBuild). 87 % av systemene som ble brukt Linux, 12 % — macOS og 1 % - Windows76 % av oppskytningene var i containere, 13 % var i hovedsystemer.
60 % av alle infeksjoner skjedde på grunn av installasjon av skadelige utgivelser av pakkene @postman/tunnel-agent-0.6.7 og @asyncapi/specs-6.8.3. I 99 % av tilfellene ble ormen aktivert ved å kjøre kommandoen "node setup_bun.js", spesifisert i preinstall-delen av package.json (de resterende 1 % var sannsynligvis et resultat av testforsøk).
Kilde: opennet.ru
