Gusano malicioso compromete dominios de criptomonedas en ataque de cadena de suministro
Una segunda ola del gusano Shai-Hulud comprometió 492 paquetes npm, robando secretos y potencialmente borrando archivos de desarrolladores.Resumen
La firma de seguridad Aikido detectó una segunda ola del gusano npm autorreplicante Shai-Hulud el 24 de noviembre, comprometiendo 492 paquetes con 132 millones de descargas mensuales en ecosistemas importantes como AsyncAPI, PostHog, Postman, Zapier y ENS. El ataque explotó las últimas semanas antes de la fecha límite del 9 de diciembre de npm para revocar los tokens de autenticación heredados. El gusano instala el tiempo de ejecución Bun, busca secretos en los entornos de desarrollador usando TruffleHog y publica credenciales robadas en repositorios públicos. Una evolución significativa es la adición de una carga útil destructiva: si el malware no puede autenticarse con GitHub o npm usando las credenciales robadas, borra todos los archivos en el directorio principal del usuario. La evidencia sugiere que el atacante obtuvo acceso de escritura al repositorio fuente, como el repositorio CLI de AsyncAPI, en lugar de simplemente secuestrar tokens de npm. Aikido estima que más de 26,300 repositorios de GitHub ahora contienen credenciales expuestas marcadas por el atacante. La mitigación incluye auditar las dependencias de los ecosistemas afectados, rotar todos los secretos y deshabilitar los scripts postinstall de npm en las canalizaciones de CI.
(Fuente:CryptoSlate)