- Shai-Hulud a infectat cel puțin 187 de pachete NPM
- Printre ele, 25 gestionate de CrowdStrike
- Viermele fură token-uri și se auto-replică în alte module
- Țintește Linux și macOS, lăsând Windows neatins
- Pachetele au fost eliminate, dar riscul de revenire rămâne
Un an după ce un bug din software-ul CrowdStrike a blocat milioane de computere la nivel global, compania de securitate se confruntă cu un nou coșmar: un vierme auto-replicant botezat Shai-Hulud (după monstrul de nisip din Dune).
De data aceasta, nu vorbim de ecrane albastre, ci de un atac care se propagă prin ecosistemul Node Package Manager (NPM) și riscă să compromită lanțuri întregi de dezvoltare software.
Cum funcționează atacul
Shai-Hulud nu e un simplu malware. E un „parazit digital” care, odată instalat printr-un pachet NPM infectat, caută token-uri de acces pe computerul victimei.
Le publică apoi într-un depozit GitHub și le folosește pentru a infecta automat până la 20 de pachete populare asociate contului respectiv. Rezultatul? O reacție în lanț în care un singur modul compromis poate duce la zeci sau sute de altele infestate.
CrowdStrike, prinsă în propria plasă
Printre cele 187 de module compromise, 25 aparțineau CrowdStrike. Compania a reacționat rapid: a șters pachetele afectate și a rotit cheile de acces.
Totuși, faptul că o firmă de securitate ajunge victima unui vierme auto-replicant ridică multe semne de întrebare.
Un cercetător de la StepSecurity a descris atacul ca un „efect de domino”, în timp ce alții îl consideră primul „vierme” adevărat din ecosistemul open-source.
De ce e diferit de alte atacuri
Spre deosebire de malware-ul clasic, Shai-Hulud e programat să „aleagă” platforma. Ignoră Windows și se concentrează pe Linux și macOS, adică exact mediile preferate de dezvoltatori.
Această alegere face ca impactul să fie cu atât mai periculos, pentru că lovește direct infrastructura unde se construiesc aplicații critice.
Ce urmează și de ce e relevant
Deși NPM și CrowdStrike au eliminat pachetele infectate, experții avertizează că viermele poate reapărea oricând, dacă un singur dezvoltator reinstalează un modul contaminat.
„E aproape viu, ca un virus”, a spus un cercetător pentru KrebsOnSecurity.
Atacul arată cât de fragil este lanțul de aprovizionare software: o mică breșă într-un modul aparent banal poate deveni punctul zero pentru un incident global.