Shai Hulud: Gefährlicher NPM-Wurm erbeutet rund 400.000 Zugangsdaten
Shai Hulud, eine nach den Würmern aus Dune benannte Schadsoftware, frisst sich seit Ende November schon zum zweiten Mal durch unzählige Javascript-Pakete in der NPM-Datenbank. Sicherheitsforscher von Wiz haben das Ausmaß dieses Vorfalls genauer untersucht. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) hat die Malware über mehr als 30.000 Github-Repos erfolgreich etwa 400.000 Zugangsdaten exfiltriert.
Der Angriff scheint noch nicht vollends eingedämmt zu sein. Den Angaben zufolge erzeugt die Malware auch im Dezember immer noch täglich neue Repositorys in zwei- bis dreistelliger Anzahl, um Anmeldeinformationen von infizierten Systemen auszuleiten. Das ist zwar deutlich weniger als zu Beginn der Angriffswelle, ein Ende ist aber noch nicht absehbar.
Shai Hulud hat es vor allem auf Systeme von Softwareentwicklern abgesehen. Der Wurm scannt infizierte Systeme unter anderem auf Schlüssel, Token und andere Anmeldeinformationen und leitet diese über öffentliche Github-Repos aus. Das geschieht jeweils über Github-Anmeldedaten Betroffener. Werden solche nicht auf einem infizierten System gefunden, so verwendet die Malware einfach den Github-Zugang eines früheren Opfers.
Eigenschaften infizierter Systeme
Erbeutete Zugangsdaten werden zudem ausgenutzt, um den Wurm in Preinstall-Skripte weiterer NPM-Pakete einzuschleusen und sich so den Weg auf weitere Systeme zu bahnen. Durch diese Vorgehensweise wurde Shai Hulud in Hunderte teils sehr prominente NPM-Pakete eingeschleust , darunter solche von Projekten wie Zapier, ENS Domains, Posthog und Postman.
Tatsächlich infiziert wurden laut Wiz mit einem Anteil von 77 Prozent hauptsächlich CI/CD-Systeme, wobei mit knapp 60 Prozent ein Großteil auf Github Actions entfällt. Weit abgeschlagen dahinter folgen Jenkins, Gitlab CI und AWS Codebuild. Nur 23 Prozent der betroffenen Systeme sind Entwicklersysteme. 87 Prozent aller infizierten Systeme basieren zudem auf Linux, bei 76 Prozent handelt es sich um Container.
Von den 400.000 erbeuteten Zugangsdaten sind den Forschern zufolge nur etwa 2,5 Prozent valide. Die Angreifer vergaßen offenbar, bei dem verwendeten Open-Source-Tool Trufflehog(öffnet im neuen Fenster) das Flag "-only-verified" zu setzen und sich damit eine Menge Datenmüll zu ersparen. Dennoch bleiben ihnen am Ende Tausende gültiger Anmeldeinformationen. Etwa 60 Prozent der von Shai Hulud geleakten NPM-Token sind laut Wiz immer noch gültig.