NPM : Shai-Hulud revient pour une seconde saison

C’est ce 24 novembre que Charlie Eriksen, d’Aikido, lance l’alerte : il vient de repérer une nouvelle campagne de compromission de paquets NPM avec une porte dérobée.

Dans un billet de blog, il explique : « Shai-Hulud, nommé d'après les gigantesques vers des sables de Dune, dans le cadre du goût de l'attaquant pour le théâtre, est un ver npm autoreproductible conçu pour se propager rapidement dans les environnements de développement compromis ».

Dès qu’un système est compromis, le ver « recherche les secrets exposés tels que les clés API et les jetons à l'aide de TruffleHog et publie tout ce qu'il trouve dans un dépôt GitHub public ».

De là, le ver tente « d'envoyer de nouvelles copies de lui-même vers npm, ce qui lui permet de se propager dans tout l'écosystème, tout en exfiltrant les données vers l'attaquant ».

Le mode opératoire a déjà été observé au mois de septembre. Cette fois-ci, quelques dizaines de milliers de dépôts GitHub ont été compromis. Ils portent une marque distinctive : « Sha1-Hulud: The Second Coming. » en description.

Selon Sysdig, plus de 800 paquets npm ont été infectés dans le cadre de cette seconde campagne. Des éditeurs tels que PostHog, Postman et Zapier ont reconnu avoir été concernés.

Selon Wiz, au cours de la seule journée du 24 novembre, plus de 770 jetons GitHub ont été exposés, aux côtés de plus de 370 identifiants AWS, 300 identifiants GCP, et 115 identifiants Azure.