• Shai-Hulud a infectat cel puțin 187 de pachete NPM
  • Printre ele, 25 gestionate de CrowdStrike
  • Viermele fură token-uri și se auto-replică în alte module
  • Țintește Linux și macOS, lăsând Windows neatins
  • Pachetele au fost eliminate, dar riscul de revenire rămâne

Un an după ce un bug din software-ul CrowdStrike a blocat milioane de computere la nivel global, compania de securitate se confruntă cu un nou coșmar: un vierme auto-replicant botezat Shai-Hulud (după monstrul de nisip din Dune).

De data aceasta, nu vorbim de ecrane albastre, ci de un atac care se propagă prin ecosistemul Node Package Manager (NPM) și riscă să compromită lanțuri întregi de dezvoltare software.

Cum funcționează atacul

Shai-Hulud nu e un simplu malware. E un „parazit digital” care, odată instalat printr-un pachet NPM infectat, caută token-uri de acces pe computerul victimei.

Recomandări

VIAȚĂ VEȘNICĂ ÎN CLOUD
YOUTUBE ELIMINĂ DEEPFAKE LA CERERE
ȘTIINȚA PRINDE ARIPI

Le publică apoi într-un depozit GitHub și le folosește pentru a infecta automat până la 20 de pachete populare asociate contului respectiv. Rezultatul? O reacție în lanț în care un singur modul compromis poate duce la zeci sau sute de altele infestate.

CrowdStrike, prinsă în propria plasă

Printre cele 187 de module compromise, 25 aparțineau CrowdStrike. Compania a reacționat rapid: a șters pachetele afectate și a rotit cheile de acces.

Totuși, faptul că o firmă de securitate ajunge victima unui vierme auto-replicant ridică multe semne de întrebare.

Un cercetător de la StepSecurity a descris atacul ca un „efect de domino”, în timp ce alții îl consideră primul „vierme” adevărat din ecosistemul open-source.

De ce e diferit de alte atacuri

Spre deosebire de malware-ul clasic, Shai-Hulud e programat să „aleagă” platforma. Ignoră Windows și se concentrează pe Linux și macOS, adică exact mediile preferate de dezvoltatori.

Această alegere face ca impactul să fie cu atât mai periculos, pentru că lovește direct infrastructura unde se construiesc aplicații critice.

Ce urmează și de ce e relevant

Deși NPM și CrowdStrike au eliminat pachetele infectate, experții avertizează că viermele poate reapărea oricând, dacă un singur dezvoltator reinstalează un modul contaminat.

„E aproape viu, ca un virus”, a spus un cercetător pentru KrebsOnSecurity.

Atacul arată cât de fragil este lanțul de aprovizionare software: o mică breșă într-un modul aparent banal poate deveni punctul zero pentru un incident global.

Citește și

Articole relaționate

Partenerii noștri

Pakistanul și Arabia Saudită au semnat un acord de „apărare mutuală” Mediafax
INTERVIU. De unde provin puiul şi cartofii de la KFC? Bogdan Cheţa, Sphera Group: Peste 95% din carnea de pui vine din România, pe când cartofii sunt din import. Dezvoltăm însă un parteneriat local care ar putea să ne asigure 100% cantitatea necesară Ziarul Financiar
Big Brother din buzunar: de aproape un deceniu, milioane de smartphone-uri au fost spionate de Google. Gigantul plăteşte acum preţul Business Magazin
Anunțul Hidroelectrica pentru toți clienții. Ce se întâmplă cu facturile Media FLUX