Le nouveau ver Shai-hulud infecte les paquets npm et génère des millions de téléchargements.

ReversingLabs a découvert « Shai-hulud », un ver informatique auto-réplicateur sur le registre open source npm. Découvrez comment ce malware vole les secrets des développeurs, expose le code privé et se propage via des packages populaires comme ngx-bootstrap et @ctrl/tinycolor.

Un nouveau ver informatique auto-réplicateur dangereux, nommé Shai-hulud, a été découvert dans le registre open source Node Package Manager ( npm ) (une immense bibliothèque où les développeurs partagent et utilisent des morceaux de code JavaScript).

La société de sécurité ReversingLabs (RL), qui a partagé ses conclusions avec Hackread.com, a identifié le ver le 15 septembre, affirmant qu'il s'agissait de la première découverte d'un ver de ce type sur la plateforme. Le nom Shai-hulud provient du dépôt du code malveillant et est un clin d'œil aux vers de sable géants de la célèbre série de science-fiction « Dune ».

Shai-hulud se propage en s'emparant du compte npm d'un développeur et en ajoutant secrètement du code malveillant aux packages de code publics et privés gérés par le développeur. Une fois infecté, un package peut propager le ver à quiconque le télécharge et l'utilise.

Cela le rend particulièrement dangereux, car de nombreux projets logiciels s'appuient sur des paquets du réseau npm. Un seul paquet compromis peut rapidement infecter un vaste réseau d'autres projets.

Le premier paquet compromis, rxnt-authentication, a été infecté le 14 septembre. Par conséquent, son mainteneur, techsupportrxnt, est considéré comme le patient zéro de cette campagne. Ce terme désigne la première personne/système identifié comme étant la source d'une infection.

Alors que l'équipe de recherche RL continue de surveiller le problème, des centaines de paquets npm ont déjà été compromis, dont certains sont très populaires et génèrent des millions de téléchargements hebdomadaires. Par exemple, le ver a infecté ngx-bootstrap , qui enregistre 300 000 téléchargements hebdomadaires, et @ctrl/tinycolor , qui enregistre 2,2 millions de téléchargements hebdomadaires, ce qui en fait une faille de sécurité à fort impact.

Le ver Shai-hulud vole des informations importantes, telles que les jetons de services cloud et le code privé. Il cible spécifiquement les clés de services comme npm, GitHub , AWS et GCP (Google Cloud Platform). L'étude révèle également que le ver installe un outil appelé TruffleHog, capable de détecter plus de 800 types de secrets différents.

De plus, il permet de rendre publiques les bibliothèques de code privées d'un utilisateur sur GitHub. Une recherche récente sur ces dépôts « migrés » a généré près de 700 résultats, révélant une importante quantité de code propriétaire.

Bien que la cause initiale exacte de l'attaque ne soit pas connue, ReversingLabs note que ses méthodes sont similaires à celles d'une campagne précédente en août, suggérant que les attaquants ont peut-être utilisé l'ingénierie sociale ou exploité des vulnérabilités dans les outils de développement.

ReversingLabs a contacté le plus grand nombre possible de développeurs concernés, mais la propagation rapide du ver rend impossible toute alerte. L'entreprise recommande aux développeurs de vérifier leurs comptes GitHub publics afin de détecter toute activité suspecte, comme de nouveaux dépôts qu'ils n'ont pas créés ou des dépôts privés soudainement rendus publics.