- Автор темы
- #1
После публикации исходников червя Shai-Hulud в открытом доступе в npm уже замечены первые клоны этой малвари. Один из обнаруженных специалистами вредоносных пакетов оказался практически точной копией оригинального червя, а другой превращает зараженные машины разработчиков в DDoS-ботнет.
Спустя всего несколько дней после того, как хакеры из группы TeamPCP опубликовали исходники Shai-Hulud на GitHub, ИБ-специалисты зафиксировали первые атаки с использованием форков этой малвари.
К примеру, исследователи из компании Ox Security обнаружили в npm сразу четыре вредоносных пакета, опубликованных аккаунтом deadcode09284814. Все они были нацелены на кражу учетных данных, API-ключей, конфигураций облачных сервисов и криптокошельков разработчиков.
Наиболее интересным оказался пакет chalk-tempalte — это практически неизмененный клон Shai-Hulud без какой-либо обфускации. По словам аналитиков, код почти полностью совпадает с недавно утекшими исходниками червя.
Также вредонос сохранил одну из главных особенностей оригинала: украденные у жертв данные автоматически выгружаются в публичные репозитории GitHub. Кроме того, малварь отправляет похищенные секреты на управляющий сервер 87e0bbc636999b.lhr[.]life. Червь-подражатель охотится за учетными данными GutHub, токенами, файлами конфигураций и информацией криптовалютных кошельков.
В Ox считают, что за новой кампанией стоит не сама группировка TeamPCP, а подражатели, которые просто взяли опубликованный код и начали использовать его в собственных атаках. На это указывает отсутствие каких-либо изменений или механизмов сокрытия в коде вредоноса.
Напомним, что о новой волне атак Shai-Hulud мы уже писали ранее. Недавно хакеры из TeamPCP скомпрометировали с его помощью сотни пакетов в npm и PyPI. От этих атак пострадали такие проекты, как TanStack, Mistral AI, Bitwarden CLI, OpenSearch, SAP и другие. Основная задача червя — кража секретов разработчиков и дальнейшее саморазмножение через зараженные пакеты.
Причем после публикации исходников исследователи предупреждали, что форки и модификации Shai-Hulud начнут появляться почти мгновенно. К сожалению, теперь эти прогнозы подтверждаются.
Помимо chalk-tempalte специалисты нашли еще три вредоносных пакета:
Специалисты пишут, что вредонос поддерживает HTTP-, TCP- и UDP-флуд, а также TCP reset-атаки. В коде исследователи нашли упоминания некого «phantom bot». То есть зараженные машины разработчиков могут использоваться не только для кражи данных, но и для организации распределенных атак.
Спустя всего несколько дней после того, как хакеры из группы TeamPCP опубликовали исходники Shai-Hulud на GitHub, ИБ-специалисты зафиксировали первые атаки с использованием форков этой малвари.
К примеру, исследователи из компании Ox Security обнаружили в npm сразу четыре вредоносных пакета, опубликованных аккаунтом deadcode09284814. Все они были нацелены на кражу учетных данных, API-ключей, конфигураций облачных сервисов и криптокошельков разработчиков.
Наиболее интересным оказался пакет chalk-tempalte — это практически неизмененный клон Shai-Hulud без какой-либо обфускации. По словам аналитиков, код почти полностью совпадает с недавно утекшими исходниками червя.
Также вредонос сохранил одну из главных особенностей оригинала: украденные у жертв данные автоматически выгружаются в публичные репозитории GitHub. Кроме того, малварь отправляет похищенные секреты на управляющий сервер 87e0bbc636999b.lhr[.]life. Червь-подражатель охотится за учетными данными GutHub, токенами, файлами конфигураций и информацией криптовалютных кошельков.
В Ox считают, что за новой кампанией стоит не сама группировка TeamPCP, а подражатели, которые просто взяли опубликованный код и начали использовать его в собственных атаках. На это указывает отсутствие каких-либо изменений или механизмов сокрытия в коде вредоноса.
Напомним, что о новой волне атак Shai-Hulud мы уже писали ранее. Недавно хакеры из TeamPCP скомпрометировали с его помощью сотни пакетов в npm и PyPI. От этих атак пострадали такие проекты, как TanStack, Mistral AI, Bitwarden CLI, OpenSearch, SAP и другие. Основная задача червя — кража секретов разработчиков и дальнейшее саморазмножение через зараженные пакеты.
Причем после публикации исходников исследователи предупреждали, что форки и модификации Shai-Hulud начнут появляться почти мгновенно. К сожалению, теперь эти прогнозы подтверждаются.
Помимо chalk-tempalte специалисты нашли еще три вредоносных пакета:
- @deadcode09284814/axios-util;
- axois-utils;
- color-style-utils.
Специалисты пишут, что вредонос поддерживает HTTP-, TCP- и UDP-флуд, а также TCP reset-атаки. В коде исследователи нашли упоминания некого «phantom bot». То есть зараженные машины разработчиков могут использоваться не только для кражи данных, но и для организации распределенных атак.