کمیته رکن چهارم– موج دوم حملات سایبری با نام Sha1-Hulud بیش از ۲۵ هزار مخزن در رجیستری npm را آلوده کرده و زنگ خطر را در جامعه توسعهدهندگان و شرکتهای امنیتی به صدا درآورده است. این حمله با شباهت زیاد به حمله قبلی Shai-Hulud، اما با شدت و پیچیدگی بیشتر انجام شده است.
به گزارش کمیته رکن چهارم، در این کمپین جدید، مهاجمان اسکریپتی به نام setup_bun.js را به فایل package.json اضافه کردهاند تا محیط Bun را فعال و سپس فایل مخرب bun_environment.js را اجرا کنند. این اسکریپت باعث ثبت دستگاه قربانی بهعنوان یک self-hosted runner در GitHub با نام SHA1HULUD شده و workflow مخفیای در مسیر .github/workflows/discussion.yaml ایجاد میکند. این فایل امکان اجرای فرمان از راه دور تنها با باز کردن بخش Discussions را فراهم میکند.
بررسیها نشان میدهد بدافزار از نسخه جدید TruffleHog برای سرقت توکنهای npm، کلیدهای AWS، GCP و Azure استفاده میکند. اطلاعات دزدیدهشده بهصورت artifact آپلود شده و سپس تمامی آثار حمله حذف میشود. تاکنون بیش از ۳۵۰ حساب کاربری GitHub و ۲۵ هزار مخزن قربانی این حمله شدهاند و رشد آن بهصورت نیمساعته در حال افزایش است.
طبق اعلام شرکت Koi Security، در صورتیکه بدافزار موفق به سرقت اطلاعات نشود، اقدام به حذف تمامی فایلهای قابلنوشتن در پوشه خانگی کاربر میکند. این رفتار، نشانهای از تغییر رویکرد مهاجمان از سرقت به خرابکاری گسترده است.
کارشناسان امنیتی هشدار دادهاند که سازمانها باید فوراً بستههای آلوده را حذف، توکنها را بازنشانی، و مخازن GitHub خود را برای شناسایی workflowهای مشکوک بررسی کنند. فایلهایی مانند shai-hulud-workflow.yml میتوانند نشانه نفوذ این حمله باشند.
