Spredning av Sha1-Hulud skadevarekampanje.
Spredning av Sha1-Hulud skadevarekampanje
I september 2025 ble en selvrepliserende orm flagget som skadevare for leverandørkjedeangrep. Angrepet, kalt "Shai-Hulud" (etter sandormene i Dune-universet), påvirket over 500 npm-pakker (node package manager) og hadde som hovedmål å tilegne seg innloggingsinformasjon og annen hemmelig informasjon fra utviklere.
24.november 2025 gikk det ut informajson om at en orm med lignende egenskaper som Shai-Hulud hadde blitt observert. JavaScript pakkesystemet npm, som brukes av Node.js, ble rammet av skadevarekampanjen som har fått tilnavnet "Sha1-Hulud: The Second Coming." På det meste skal over 1000 npm-pakker være rammet, blant annet populære fra Postman, ENS, AsyncAPI, PostHog og Zapier. Ormen kamufleres som en trojaner og under installasjon av en kompromittert pakke vil ormen også installere seg selv og søke etter innloggingsdetaljer til blant annet GitHub, skytjenester som AWS, Azure og GCP, og npm. Om ormen lykkes, publiseres informasjonen på et offentlig GitHub-repo med offerets konto. Den forsøker også å spre seg selv ved å misbruke npm-innlogging til å infisere pakker offeret har ansvar for. Per 24.november 2025 melder Wiz (https://www.wiz.io) om mer at mer enn 350 unike brukere og over 25 000 repoer er påvirket av skadevaren.
I denne andre bølgen introduserer Sha1-Hulud en langt mer aggressiv reservemekanisme: Hvis skadevaren mislykkes i å autentisere seg eller etablere vedvarende tilgang, forsøker den å ødelegge hele offerets hjemmekatalog. Spesifikt sletter skadevaren hver skrivbar fil som tilhører den nåværende brukeren i deres hjemmemappe. Denne destruktive logikken utløses kun når alle følgende betingelser er oppfylt:
Den ikke kan autentisere seg mot GitHub
Den ikke kan opprette et GitHub-lager
Den ikke kan hente et GitHub-token
Den ikke kan finne et NPM-token
Det vil si, dersom skadevaren ikke greier å tilegne seg innloggingsinformasjon, innhente tokens eller sikre seg en kanal for datautfiltrering, vil den ty til katastrofal dataødeleggelse.
Det er per i dag ikke kjent hvem som står bak Sha1-Hulud, men mye tyder på at det er samme aktør som står bak angrepene i august og september.
For oversikt over hvilke pakker dette gjelder, se vedlagte lenker.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.