Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
I primi cloni di Shai-Hulud sono già comparsi su npm pochi giorni dopo la pubblicazione del codice sorgente. I pacchetti individuati rubano credenziali GitHub, chiavi API, configurazioni cloud e portafogli crypto, mentre alcune varianti trasformano i sistemi infetti in botnet DDoS. Il caso conferma i timori degli esperti: una nuova fase degli attacchi alla supply chain software.
In seguito alla pubblicazione del codice sorgente del worm Shai-Hulud, i primi cloni di questo malware sono già stati individuati su npm. Uno dei pacchetti dannosi scoperti dagli specialisti si è rivelato una copia quasi esatta del worm originale, mentre un altro trasforma i computer degli sviluppatori infetti in una botnet per attacchi DDoS.
Pochi giorni dopo che gli hacker del gruppo TeamPCP avevano pubblicato il codice sorgente di Shai-Hulud su GitHub, i ricercatori di sicurezza hanno rilevato i primi attacchi che utilizzavano versioni derivate di questo malware.
Ad esempio, i ricercatori di Ox Security hanno scoperto quattro pacchetti dannosi su npm, pubblicati dall’account deadcode09284814. Tutti avevano lo scopo di rubare credenziali, chiavi API, configurazioni di servizi cloud e portafogli di criptovalute agli sviluppatori.
Il pacchetto chalk-template si è rivelato il più interessante: è un clone praticamente identico di Shai-Hulud, senza alcuna tecnica di offuscamento. Secondo gli analisti, il codice è quasi identico al codice sorgente del worm trapelato di recente.
Il malware conserva anche una delle caratteristiche principali dell’originale: i dati rubati vengono caricati automaticamente sui repository pubblici di GitHub. Inoltre, il malware invia i segreti rubati al server di comando e controllo 87e0bbc636999b.lhr[.]life. Il worm, una copia dell’originale, è alla ricerca di credenziali GitHub, token, file di configurazione e informazioni sui portafogli di criptovalute.
Ox ritiene che la nuova campagna non sia condotta dal gruppo TeamPCP in persona, bensì da gruppi che hanno semplicemente preso il codice pubblicato e hanno iniziato a utilizzarlo nei propri attacchi. Ciò è dimostrato dall’assenza di modifiche o meccanismi di occultamento nel codice del malware.
Recentemente, gli hacker del TeamPCP lo hanno utilizzato per compromettere centinaia di pacchetti su npm e PyPI. Questi attacchi hanno colpito progetti come TanStack, Mistral AI, Bitwarden CLI, OpenSearch, SAP e altri.
Inoltre, dopo la pubblicazione del codice sorgente, i ricercatori avevano avvertito che sarebbero comparse quasi immediatamente versioni derivate e modifiche di Shai-Hulud. Purtroppo, queste previsioni si stanno ora rivelando corrette.
Gli esperti hanno scoperto altri tre pacchetti dannosi:
Alcuni di loro hanno utilizzato il typosquatting e si sono camuffati da pacchetti per la libreria Axios. Tutti e quattro i pacchetti contenevano software dannoso per rubare dati, ma axois-utils non solo ruba dati, ma ha anche la funzionalità di trasformare i computer degli sviluppatori in parte di una botnet DDoS.
Gli esperti segnalano che il malware supporta attacchi di tipo flooding HTTP, TCP e UDP, nonché attacchi di reset TCP. I ricercatori hanno trovato riferimenti a un “bot fantasma” nel codice. Ciò significa che i computer degli sviluppatori infetti possono essere utilizzati non solo per rubare dati, ma anche per lanciare attacchi distribuiti
Complessivamente, i quattro pacchetti dannosi hanno totalizzato oltre 2.600 download. I ricercatori raccomandano a chiunque abbia installato queste dipendenze di rimuoverle immediatamente, di richiedere nuove credenziali e di modificare le proprie chiavi API.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]