- Detalhes
- Escrito por: Hugo Dias
- Categoria: Blog
- Acessos: 300
O worm «Shai-Hulud» compromete o ecossistema npm
O recente worm «Shai-Hulud», que tem como alvo o ecossistema npm (Node Package Manager), é um forte alerta para a fragilidade das nossas cadeias de fornecimento de software. Este malware auto-replicável, cujo nome é uma referência ao icónico verme das areias do universo Dune, comprometeu mais de 180 pacotes npm através de um ataque sofisticado ao processo de distribuição de software. O que o torna particularmente perigoso é a sua capacidade de propagação automática: utilizando tokens roubados, o worm infeta e republica outros pacotes sob o controlo dos seus autores originais, espalhando-se rapidamente por todo o ecossistema.
O ataque afecta sobretudo ambientes Linux e macOS, e algumas variantes utilizam ferramentas como o TruffleHog para procurar credenciais de forma mais profunda. Além disso, o malware estabelece persistência através da criação de workflows maliciosos do GitHub Actions, que permitem executar código à distância ou expor informações sensíveis.
De forma simplificada, o «Shai-Hulud» procura chaves e tokens de acesso em ficheiros de configuração e variáveis de ambiente, usando-os depois para se propagar a outros pacotes npm que pertencem aos mesmos programadores. Cada nova infecção repete o processo, criando um efeito em cadeia que torna a sua disseminação especialmente difícil de conter.
Este incidente reforça a importância de boas práticas de segurança, como a utilização de autenticação de dois factores, a rotação periódica de credenciais e a verificação cuidadosa de todas as dependências utilizadas em projectos de software.
Como detectar o worm?
De forma a verificar se a minha máquina estava afectada criei um script para fazer um scan aos meus projectos e criar um relatório sobre a vulnerabilidade de cada um. Podes fazer o download aqui. O ficheiro zip contem dois ficheiros: o script e um README com todas as instruções.
Fontes e artigos relacionados
- Self-Replicating Worm Hits 180+ Software Packages — Krebs on Security
- Shai-Hulud worm infects hundreds of npm packages — Securelist (Kaspersky)
- Shai-Hulud Worm Targets npm Ecosystem — Infosecurity Magazine
- npm Supply Chain Attack — Unit 42 (Palo Alto Networks)
- Shai-Hulud: The self-replicating worm infecting npm — Sysdig Blog
ENGLISH VERSION
The “Shai-Hulud” worm compromises the npm ecosystem
The recent “Shai-Hulud” worm, targeting the npm (Node Package Manager) ecosystem, is a strong reminder of how fragile modern software supply chains can be. This self-replicating malware — named after the iconic sandworm from the Dune universe — has compromised more than 180 npm packages through a sophisticated software distribution attack. What makes it particularly dangerous is its worm-like propagation: by using stolen tokens, it infects and republishes other packages under the control of their legitimate maintainers, spreading rapidly throughout the ecosystem.
The attack primarily affects Linux and macOS environments, and some variants even use tools like TruffleHog to perform deeper credential scans. In addition, the malware establishes persistence through the creation of malicious GitHub Actions workflows, enabling remote code execution and the exposure of sensitive information.
In simple terms, “Shai-Hulud” searches for access keys and tokens within configuration files and environment variables, then uses them to propagate itself to other npm packages owned by the same developers. Each new infection repeats the process, creating a chain reaction that makes containment especially difficult.
This incident underscores the importance of good security practices, such as enabling two-factor authentication, rotating credentials regularly, and carefully reviewing all dependencies used in software projects.
How to detect the worm?
In order to check whether my machine was affected, I created this script to scan my projects and create a report on the vulnerability of each one.
You can download it here. The zip file contains two files: the script and a README with all the instructions.
Sources and related articles
- Self-Replicating Worm Hits 180+ Software Packages — Krebs on Security
- Shai-Hulud Worm Infects Hundreds of npm Packages — Securelist (Kaspersky)
- Shai-Hulud Worm Targets npm Ecosystem — Infosecurity Magazine
- npm Supply Chain Attack — Unit 42 (Palo Alto Networks)
- Shai-Hulud: The Self-Replicating Worm Infecting npm — Sysdig Blog
- Detalhes
- Escrito por: RocketTheme
- Categoria: Blog
- Acessos: 119
Lorem ipsum dolor sit amet, consectetur adipiscing elit. In sagittis varius egestas.
Nam gravida nunc ac leo mollis semper. Nulla at nibh non felis lacinia pellentesque sed et sapien. Cras ex nunc, posuere imperdiet sapien non, vehicula elementum purus.
- Detalhes
- Escrito por: RocketTheme
- Categoria: Blog
- Acessos: 94
Lorem ipsum dolor sit amet, consectetur adipiscing elit. In sagittis varius egestas.
Nam gravida nunc ac leo mollis semper. Nulla at nibh non felis lacinia pellentesque sed et sapien. Cras ex nunc, posuere imperdiet sapien non, vehicula elementum purus.
- Detalhes
- Escrito por: RocketTheme
- Categoria: Blog
- Acessos: 40
Lorem ipsum dolor sit amet, consectetur adipiscing elit. In sagittis varius egestas.
Nam gravida nunc ac leo mollis semper. Nulla at nibh non felis lacinia pellentesque sed et sapien. Cras ex nunc, posuere imperdiet sapien non, vehicula elementum purus.
- Detalhes
- Escrito por: RocketTheme
- Categoria: Blog
- Acessos: 33
Lorem ipsum dolor sit amet, consectetur adipiscing elit. In sagittis varius egestas.
Nam gravida nunc ac leo mollis semper. Nulla at nibh non felis lacinia pellentesque sed et sapien. Cras ex nunc, posuere imperdiet sapien non, vehicula elementum purus.