Digert angrep: Shai-Hulud stjeler hemmelig­hetene dine

Forsyningskjedeangrep, eller "supply chain attack" på engelsk, er en utbredt metode for datakriminelle. Ofte sprøyter de inn ondsinnet kode i npm-pakker, for å få diverse tilganger i prosjektene du jobber med. 

Denne uka har det dukket opp et nytt, digert slikt angrep, kalt "Shai-Hulud". Det er oppkalt etter sandormene i Dune-universet, fordi angrepet sprer seg som en dataorm.

Blant annet skysikkerhetsselskapet Wiz kaller angrepet for Shai-Hulud 2.0, da det skal være runde to av et angrep man først så i september, melder blant annet The Register.

Wiz omtaler spredningen som "massiv", og ber deg ta grep umiddelbart. 

Shai-Hulud stjeler hemmeligheter

Sånn fungerer Shai-Hulud, enkelt forklart, ifølge Wiz: 

• Skadevaren kommer seg inn i store npm-pakker, fra aktører som Zapier, ENS Domains, PostHog og Postman, og gjør i praksis disse til trojaner for skadevaren.
• Ifølge Wiz finnes disse pakkene i så mye som 27 prosent av all koden Wiz skanner, og skal lastes ned over 100 millioner ganger i måneden. Det blir bare flere og flere pakker med skadevaren, rundt 700 da de skrev innlegget sitt. 
• Prosjekter som bruker disse pakkene blir infisert av skadevaren, og ifølge Wiz skal det nå dreie seg om rundt 25.000 repoer på GitHub, overraskende nok bare fra rundt 350 brukere. Men til tider skal den spre seg med en fart på 1.000 nye repoer hver 30. minutt, så tallet kan være mye høyere nå. 
• Skadevaren leter etter tokens, cookies og andre hemmeligheter i prosjektene, samt hemmeligheter fra AWS Secrets Manager, Google Secret Manager og Azure Key Vault. 
• Hemmelighetene lastes så opp til de kriminelle.

Vil du har mer detaljer rundt angrepet, kan du lese et langt og inngående innlegg hos Wiz.

Ber deg ta grep umiddelbart

– Umiddelbar etterforskning er anbefalt for alle npm-baserte miljøer, skriver Wiz om Shai-Hulud-angrepet. 

– Med tanke på kampanjens skala, tempo og evne til å stjele hemmeligheter, bør team umiddelbart sjekke avhengigheter og rulle ut tiltak. 

Kapret npm-pakker med milliarder av nedlastinger

Hackere har gjennom et phishingangrep klart å injisere skadevare i et stort antall npm-pakker med totalt 2 milliarder ukentlige nedlastinger.

De kommer også med konkrete tips til hva man bør gjøre, som å: 

• Slette npm-cache-en sin. 
• Rulle tilbake avhengigheter til før 21. november. 
• Trekke tilbake og generere nye npm-tokens, GitHub PAT-er, SSH-nøkler og legitimeringer hos skyleverandører. 
• Søke etter nye repoer på egen GitHub-konto med "Shai-Hulud" i beskrivelsen. 
• Generelt se etter mistenkelig aktivitet på egne kontoer. 

 💬Har du blitt offer for dette? Hør gjerne fra deg under artikkelen!

Pass deg for skrivefeil – populære npm-pakker angrepet

Hundrevis av populære JavaScript-biblioteker utnyttet av angripere.