SlowMist avverte: torna l’attacco alla supply chain Shai-Hulud 3.0

La società di cybersecurity SlowMist ha lanciato un nuovo allarme, dopo aver rilevato il ritorno dell’attacco alla supply chain Shai-Hulud, ora etichettato come versione 3.0. L’avviso arriva dal Chief Information Security Officer di SlowMist, noto come 23pds, che ha invitato team e piattaforme Web3 a rafforzare immediatamente le difese. Secondo la segnalazione, l’ultima variante prende di mira l’ecosistema NPM, un gestore di pacchetti ampiamente utilizzato nello sviluppo software moderno.

Attacchi alla supply chain di questo tipo consentono al codice malevolo di diffondersi attraverso librerie open source considerate affidabili, spesso senza che gli sviluppatori se ne accorgano. Di conseguenza, anche infezioni di piccole dimensioni possono rapidamente scalare su più progetti. SlowMist ha ricordato che incidenti precedenti, tra cui una passata fuga di chiavi API collegata a Trust Wallet, potrebbero aver avuto origine da una versione precedente di Shai-Hulud. La ricomparsa del malware alimenta il timore che gli attaccanti stiano affinando e rilanciando tecniche già collaudate.

Cosa rende diverso Shai-Hulud 3.0

I ricercatori di sicurezza affermano che Shai-Hulud 3.0 presenta evidenti cambiamenti tecnici rispetto alle versioni precedenti. Analisi condotte da ricercatori indipendenti indicano che il malware utilizza ora nomi di file diversi, ha modificato la struttura dei payload e migliorato la compatibilità tra sistemi operativi. La nuova variante avrebbe inoltre rimosso un precedente “dead man switch”, una funzione che poteva disattivare il malware in determinate condizioni. Se da un lato questa rimozione riduce alcuni rischi, dall’altro suggerisce che gli attaccanti stiano semplificando l’esecuzione per eludere i controlli.

I ricercatori hanno anche osservato che il malware sembra essere offuscato a partire dal codice sorgente originale, anziché copiato direttamente. Questo dettaglio suggerisce l’accesso a materiali di attacchi precedenti e indica un attore della minaccia più sofisticato. Le prime evidenze indicano una diffusione ancora limitata, segno che gli attaccanti potrebbero essere in fase di test del payload.

Ricercatori al lavoro su pacchetti NPM attivi

Il ricercatore di sicurezza indipendente Charlie Eriksen ha confermato che il suo team sta indagando attivamente sulla nuova variante. Secondo le comunicazioni pubbliche, il malware è stato individuato all’interno di uno specifico pacchetto NPM, facendo scattare un’analisi più approfondita delle dipendenze correlate. L’indagine mostra che il malware tenta di estrarre variabili d’ambiente, credenziali cloud e file segreti, per poi caricare questi dati su repository controllati dagli attaccanti. Queste tecniche sono coerenti con i precedenti attacchi Shai-Hulud, ma presentano una sequenza più raffinata e una gestione degli errori migliorata. Al momento, i ricercatori affermano che non vi sono prove di una compromissione su larga scala. Tuttavia, avvertono che gli attacchi alla supply chain spesso si espandono rapidamente una volta che gli attaccanti ne confermano la stabilità.

Il settore invitato a rafforzare la sicurezza delle dipendenze

SlowMist ha consigliato ai team di progetto di verificare le dipendenze, bloccare le versioni dei pacchetti e monitorare comportamenti di rete anomali. Gli sviluppatori sono inoltre incoraggiati a rivedere le pipeline di build e a limitare l’accesso alle credenziali sensibili. La società ha sottolineato che le minacce alla supply chain restano tra i rischi più sottovalutati nel Web3 e nel software open source. Anche piattaforme ben protette possono diventare vulnerabili attraverso librerie di terze parti. Mentre le indagini proseguono, gli esperti di sicurezza raccomandano cautela, non panico. Allo stesso tempo, concordano sul fatto che Shai-Hulud 3.0 rappresenti un chiaro promemoria: le supply chain software restano un obiettivo di alto valore.