Securitybedrijf Aikido Security heeft een derde variant ontdekt van de JavaScript-malware Shai Hulud. Dit leidt tot zorgen over de veiligheid van de open source supply chain.
De malware werd aangetroffen in een npm-pakket met de naam @vietmoney/react-big-calendar en lijkt onderdeel te zijn van een gecontroleerde test door de aanvallers. Op het moment van ontdekking zijn er geen aanwijzingen voor grootschalige verspreiding, wat erop wijst dat de campagne vroegtijdig is onderschept.
Shai Hulud werd voor het eerst waargenomen in september en richt zich specifiek op het JavaScript-ecosysteem. In plaats van eindgebruikers aan te vallen, focust de malware zich op ontwikkelaars door kwaadaardige code te verstoppen in npm-packages. Zodra zo’n package wordt geïnstalleerd, probeert de malware gevoelige informatie te verzamelen, waaronder omgevingsvariabelen, API-sleutels en secrets uit cloud- en CI/CD-omgevingen. Deze gegevens worden vervolgens automatisch gelekt naar GitHub-repositories die door de aanvaller worden aangemaakt.
De nieuw ontdekte variant, die door onderzoekers wordt aangeduid als Shai Hulud 3.0, laat zien dat de aanvallers hun technieken blijven verfijnen. De code is verder opgesplitst, sterker geobfusceerd en aangepast om beter om te gaan met fouten tijdens het stelen van secrets. Ook is de malware nu beter compatibel met verschillende JavaScript-runtimes, waaronder Windows-omgevingen, wat eerdere varianten niet betrouwbaar ondersteunden.
Opvallend is dat onderzoekers een programmeerfout aantroffen waarbij de malware probeert een bestand te downloaden onder een andere naam dan waaronder het lokaal wordt opgeslagen. Dit soort inconsistenties wijst erop dat de aanvallers experimenteren met nieuwe versies voordat ze een grootschalige aanval lanceren. Aikido Security stelt dat de code niet simpelweg is gekopieerd, maar opnieuw is opgebouwd met toegang tot de originele broncode, wat erop duidt dat dezelfde actor of groep verantwoordelijk is.
Lees ook: NPM opnieuw getroffen door Shai-Hulud worm-aanval
Geen dead man switch
In tegenstelling tot eerdere varianten bevat Shai Hulud 3.0 geen zogenoemde dead man switch. Dat is een mechanisme dat schade kan veroorzaken wanneer de malware wordt verwijderd of verstoord. Externe security-experts wijzen erop dat dit de malware tot een ongericht en moeilijk te stoppen wapen maakt. Patrick Munch, chief security officer bij Mondoo, waarschuwt dat de snelle evolutie van Shai Hulud laat zien hoe aantrekkelijk de software supply chain is geworden voor aanvallers, meldt SiliconANGLE.
De ontdekking volgt kort op het aantreffen van een tweede Shai Hulud-variant vlak voor kerst, die werd gesignaleerd door detectie- en responsebedrijf Expel. Dat meerdere securitybedrijven onafhankelijk nieuwe varianten tegenkomen, onderstreept volgens onderzoekers dat het hier niet om een eenmalig incident gaat, maar om een actieve en zich ontwikkelende malwarecampagne.
Hoewel de directe impact van deze specifieke vondst beperkt lijkt, benadrukt het incident opnieuw de kwetsbaarheid van moderne ontwikkelomgevingen. Door kwaadaardige code te verstoppen in vertrouwde open source dependencies kunnen aanvallers perimeterbeveiliging omzeilen en direct toegang krijgen tot systemen waarin waardevolle cloud- en deploymentsecrets aanwezig zijn. Aikido Security verwacht dan ook dat soortgelijke aanvallen vaker zullen voorkomen, zolang dependencybeheer en monitoring onvoldoende aandacht krijgen.