Cacing berbahaya mengkompromikan domain crypto dalam serangan rantai pasokan

Pada 24 November, perusahaan keamanan Aikido mendeteksi gelombang kedua worm npm yang dapat mereplikasi diri sendiri bernama Shai-Hulud, yang mengkompromikan 492 paket dengan total unduhan bulanan sebanyak 132 juta.

Serangan ini menyerang ekosistem besar, termasuk AsyncAPI, PostHog, Postman, Zapier, dan ENS, dengan memanfaatkan minggu-minggu terakhir sebelum batas waktu npm pada 9 Desember untuk mencabut token autentikasi lama.

Antrian triase Aikido menandai adanya intrusi sekitar pukul 03:16 AM UTC, saat versi berbahaya dari go-template AsyncAPI dan 36 paket terkait mulai menyebar di registry.

Penyerang memberi label repositori kredensial curian dengan deskripsi “Sha1-Hulud: The Second Coming,” mempertahankan branding teatrikal dari kampanye bulan September.

Worm ini menginstal runtime Bun selama proses setup paket, lalu mengeksekusi kode berbahaya yang mencari rahasia yang terekspos di lingkungan pengembang menggunakan TruffleHog.

Kunci API yang dikompromikan, token GitHub, dan kredensial npm dipublikasikan ke repositori publik dengan nama acak, dan malware mencoba menyebar dengan mendorong versi terinfeksi baru ke hingga 100 paket tambahan, lima kali lipat dari skala serangan bulan September.

Evolusi teknis dan payload destruktif

Iterasi bulan November memperkenalkan beberapa modifikasi dari serangan bulan September.
Malware kini membuat repositori dengan nama acak untuk data curian alih-alih menggunakan nama yang sudah ditentukan, sehingga menyulitkan upaya penutupan.

Kode setup menginstal Bun melalui setup_bun.js sebelum mengeksekusi payload utama di bun_environment.js, yang berisi logika worm dan rutinitas pengambilan kredensial.

Penambahan paling destruktif: jika malware tidak dapat melakukan autentikasi dengan GitHub atau npm menggunakan kredensial curian, maka semua file di direktori home pengguna akan dihapus.

Analisis Aikido mengungkapkan adanya kesalahan eksekusi yang membatasi penyebaran serangan. Kode bundling yang menyalin worm penuh ke paket baru kadang gagal menyertakan bun_environment.js, sehingga hanya skrip instalasi Bun yang tersisa tanpa payload berbahaya.

Meski terjadi kegagalan ini, kompromi awal tetap mengenai target bernilai tinggi dengan eksposur downstream yang masif.

Paket AsyncAPI mendominasi gelombang pertama, dengan 36 rilis yang dikompromikan termasuk @asyncapi/cli, @asyncapi/parser, dan @asyncapi/generator.

PostHog menyusul pada pukul 04:11 AM UTC, dengan versi terinfeksi dari posthog-js, posthog-node, dan puluhan plugin. Paket Postman muncul pada pukul 05:09 AM UTC.

Kompromi Zapier memengaruhi @zapier/zapier-sdk, zapier-platform-cli, dan zapier-platform-core, sementara kompromi ENS memengaruhi @ensdomains/ensjs, @ensdomains/ens-contracts, dan ethereum-ens.

Pembuatan branch GitHub menunjukkan akses tingkat repositori

Tim AsyncAPI menemukan branch berbahaya di repositori CLI mereka yang dibuat tepat sebelum paket yang dikompromikan muncul di npm.

Branch tersebut berisi versi malware Shai-Hulud yang sudah dideploy, menandakan penyerang memperoleh akses tulis ke repositori itu sendiri, bukan hanya membajak token npm.

Peningkatan ini mencerminkan teknik yang digunakan dalam kompromi Nx asli, di mana penyerang memodifikasi repositori sumber untuk menyuntikkan kode berbahaya ke dalam pipeline build yang sah.

Aikido memperkirakan bahwa 26.300 repositori GitHub kini berisi kredensial curian yang ditandai dengan deskripsi “Sha1-Hulud: The Second Coming.”

Repositori tersebut berisi rahasia yang terekspos oleh lingkungan pengembang yang menjalankan paket terkompromi, termasuk kredensial layanan cloud, token CI/CD, dan kunci autentikasi untuk API pihak ketiga.

Sifat kebocoran yang bersifat publik memperparah kerusakan: penyerang mana pun yang memantau repositori dapat memanen kredensial secara real time dan meluncurkan serangan sekunder.

Waktu serangan dan mitigasi

Waktu serangan bertepatan dengan pengumuman npm pada 15 November bahwa mereka akan mencabut token autentikasi klasik pada 9 Desember.

Pilihan penyerang untuk meluncurkan kampanye besar-besaran terakhir sebelum batas waktu menunjukkan bahwa mereka menyadari jendela untuk kompromi berbasis token akan segera ditutup. Garis waktu Aikido menunjukkan gelombang pertama Shai-Hulud dimulai pada 16 September.

“Second Coming” pada 24 November merupakan kesempatan terakhir penyerang untuk mengeksploitasi token lama sebelum migrasi npm memutus akses tersebut.

Aikido merekomendasikan agar tim keamanan mengaudit semua dependensi dari ekosistem yang terdampak, khususnya paket Zapier, ENS, AsyncAPI, PostHog, dan Postman yang diinstal atau diperbarui setelah 24 November.

Organisasi harus merotasi semua rahasia GitHub, npm, cloud, dan CI/CD yang digunakan di lingkungan tempat paket-paket ini ada, serta mencari di GitHub repositori dengan deskripsi “Sha1-Hulud: The Second Coming” untuk menentukan apakah kredensial internal terekspos.

Menonaktifkan skrip postinstall npm di pipeline CI mencegah eksekusi saat instalasi di masa depan, dan mengunci versi paket dengan lock file membatasi eksposur terhadap rilis terkompromi yang baru.

Postingan Malicious worm compromises crypto domains in supply-chain attack pertama kali muncul di CryptoSlate.