Um ataque massivo à cadeia de suprimentos visando as contas NPM da gigante da automação Zapier e do Ethereum Name Service (ENS).
Identificada pela Aikido Security, a campanha está sendo orquestrada pelos mesmos agentes de ameaça responsáveis pelo worm de autopropagação “Shai Hulud” que surgiu pela primeira vez em setembro.
Esta última onda, autointitulada “Shai Hulud: The Second Coming”, comprometeu vários pacotes principais e criou mais de 19.000 repositórios públicos contendo credenciais roubadas.
O ator de ameaça por trás desta campanha desviou-se de alvos anteriores para injetar código malicioso diretamente em dependências amplamente utilizadas nos ecossistemas Zapier e ENS.
Ao contrário do malware estático típico, esse ataque usa um worm de autopropagação que pode se expandir rapidamente. Depois que um desenvolvedor instala um pacote infectado, o malware é ativado para coletar segredos confidenciais, incluindo tokens NPM, tokens de acesso pessoal (PATs) do GitHub e chaves de infraestrutura em nuvem.
Essas credenciais roubadas são imediatamente utilizadas para espalhar ainda mais a infecção, criando um efeito cascata em toda a comunidade de código aberto. A velocidade desta propagação é alarmante, com o impacto ultrapassando a campanha inicial do ator em setembro, apenas cinco horas após a detecção.
Táticas de exfiltração de dados
O objetivo principal deste ataque parece ser a interrupção máxima e a exposição dos dados. O malware emprega o TruffleHog, uma ferramenta projetada para caçar segredos, para exfiltrar dados confidenciais de ambientes infectados.
Os invasores não estão apenas mantendo essas credenciais para si. Eles também os estão compartilhando publicamente no GitHub em repositórios com títulos descritivos “Shai Hulud: The Second Coming”.
Esta exposição pública aumenta exponencialmente o risco, pois permite que outros atores de ameaças oportunistas transformem as chaves expostas em armas antes que as organizações possam alterná-las, disse a Aikido Security ao Cybersecurity News.
O grande volume de repositórios criados sugere uma execução altamente automatizada destinada a sobrecarregar as equipes de segurança e os responsáveis pela resposta a incidentes.
Os seguintes pacotes foram confirmados como comprometidos e devem ser considerados ativamente maliciosos.
EcossistemaNome do pacoteStatusZapierzapier-platform-coreInfected / MaliciousZapierzapier-platform-cliInfected / MaliciousZapierzapier-platform-schemaInfected / MaliciousZapier@zapier/secret-scrubberInfected / MaliciousENS@ensdomains/ens-validationInfected / MaliciousENS@ensdomains/content-hashInfected / MaliciousENSethereum-ensInfected / MaliciousENS@ensdomains/react-ens-addressInfected / MaliciousENS@ensdomains/ens-contractsInfected / MaliciousENS@ensdomains/ensjsInfected / MaliciousENS@ensdomains/ens-archived-contractsInfected / MaliciousENS@ensdomains/dnssecoraclejsInfected / Malicioso
As organizações que utilizam qualquer um dos pacotes listados devem assumir um compromisso total dos seus ambientes de desenvolvimento. As equipes de segurança são incentivadas a alternar imediatamente todas as credenciais do GitHub, NPM e nuvem para evitar acesso não autorizado.
É fundamental auditar todas as dependências e verificar especificamente as organizações do GitHub e contas de funcionários em busca de repositórios que correspondam à descrição “Shai Hulud”.
Para impedir uma maior disseminação, as equipes de DevOps devem desabilitar temporariamente os scripts de pós-instalação do NPM em pipelines de CI/CD sempre que possível e impor a autenticação multifator (MFA) para todos os mantenedores de pacotes.
Bloquear versões de dependência e utilizar ferramentas como SafeChain pode ajudar a bloquear a execução automática desse malware enquanto o ecossistema se recupera.
Tipo de indicadorValor / DescriçãoPadrão de nome de repositórioShai Hulud: The Second ComingMalware BehaviorExecução automatizada de TruffleHog para verificação secretaAtivos direcionadosTokens NPM, GitHub PATs, Cloud KeysPublic Repo Count> 19.000 repositórios maliciosos criados
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
