تقوم دودة Mini Shai-Hulud باختطاف 323 حزمة npm في أقل من 30 دقيقة من خلال حساب مسروق واحد

في 19 مايو، قامت دودة Mini Shai-Hulud باختراق حساب صيانة npm واحد ونشرت 639 إصدارًا ضارًا عبر 323 حزمة في أقل من 30 دقيقة.

ينشر الحساب المخترق، "atool" (i@hust.cc)، مجموعة تصورات البيانات @antv الخاصة بـ Alibaba بالكامل إلى جانب المكتبات المستقلة المستخدمة في لوحات معلومات العملات المشفرة والواجهات الأمامية لـ DeFi وتطبيقات التكنولوجيا المالية.

أعلى الأهداف من حيث عدد الزيارات: مستشعر الحجم عند 4.2 مليون عملية تنزيل أسبوعيًا، وecharts for-react عند 1.1 مليون، و@antv/scale عند 2.2 مليون، وtimeago.js عند 1.15 مليون.

تم حل المشاريع التي تستخدم نطاقات semver مثل ^3.0.6 لـ echarts-for-react تلقائيًا إلى الإصدار الضار 3.2.7 عند التثبيت النظيف التالي. أغلق المشرف التحذيرات الأمنية لـ GitHub في غضون ساعة، ودفنها في الإصدارات المغلقة.

ما الذي تسرقه الحمولة وكيف تستمر

تحصد البرمجيات الخبيثة أكثر من 20 نوعًا من بيانات الاعتماد: مفاتيح AWS عبر البيانات التعريفية EC2 وECS، ورموز Google Cloud وAzure، ورموز GitHub وnpm، ومفاتيح SSH، وحسابات خدمة Kubernetes، وأسرار HashiCorp Vault، ومفاتيح Stripe API، وسلاسل اتصال قاعدة البيانات، وخزائن كلمات المرور المحلية من 1Password وBitwarden، لكل Switch.dev.

يتم الترشيح من خلال قناتين. يتم تشفير بيانات الاعتماد المسروقة باستخدام AES-256-GCM وإرسالها إلى خادم الأوامر والتحكم.

وكحل احتياطي، تستخدم الدودة رموز GitHub المميزة لإنشاء مستودعات عامة بأسماء تحمل سمات Dune مثل sardaukar-melange-742 أو fremen-sandworm-315، ثم تقوم بتحويل البيانات المسروقة كملفات. ذكرت StepSecurity أن أكثر من 2500 مستودع GitHub تحتوي بالفعل على مؤشرات مرتبطة بالحملة.

بالإضافة إلى ذلك، تستخدم الدودة التشفير على البيانات المسروقة في آثار OpenTelemetry المنقولة عبر HTTPS. على الأجهزة التي تعمل بنظام Linux، يقوم بإعداد خدمة مستخدم systemd القادرة على جلب التعليمات من GitHub حتى بعد إزالة الحزمة.

تقوم الدودة بتعديل ملفات التكوين .vscode و.claude لضمان إعادة التنشيط في بيئات التطوير.

الحملة مستمرة في النمو

هذه هي الموجة الثالثة. وكما أفاد موقع Cryptopolitan في شهر يناير، فقد ضرب الإصدار الأصلي لـ Shai-Hulud حزم npm الخاصة بـ Trust Wallet وتسبب في خسائر بقيمة 8.5 مليون دولار. ضربت الموجة الثانية Mistral AI وTanStack وUiPath وGuardrails AI في 11 مايو.

تمكن المقبس من تحديد 1055 إصدارًا مخترقًا بشكل إجمالي ضمن 502 حزمة متميزة من خلال npm وPyPI وComposer.

قامت مجموعة التهديد التي تقف وراء الحملة، TeamPCP، بالترويج لأدواتها في منتديات القرصنة السرية، وفقًا لباحثي Datadog. ظهرت إصدارات مقلدة تستخدم خوادم قيادة وتحكم مختلفة، مما يجعل الإسناد صعبًا.

قال الرئيس التنفيذي لشركة SlowMist 23pds إن أي بيئة قامت بتثبيت الإصدارات المتأثرة يجب أن يتم التعامل معها على أنها معرضة للخطر بالكامل.

تتضمن بعض الإجراءات الموصى بها إلغاء جميع رموز الوصول المميزة، وتدوير بيانات الاعتماد لموفري AWS، وGitHub، وnpm، وموفري السحابة، وتنفيذ مصادقة متعددة العوامل لنشر الحساب، ومراجعة أي نشاط مشبوه داخل المستودعات.