SlowMist advarer: Shai-Hulud 3.0-leverandørkjedeangrep er tilbake

Cybersikkerhetsselskapet SlowMist har sendt ut en ny advarsel etter å ha oppdaget at Shai-Hulud-leverandørkjedeangrepet er tilbake, nå omtalt som versjon 3.0. Varslet kom fra SlowMists Chief Information Security Officer, kjent som 23pds, som oppfordret Web3-team og plattformer til å styrke forsvaret umiddelbart. Ifølge advarselen retter den nyeste varianten seg mot NPM-økosystemet, en mye brukt pakkebehandler i moderne programvareutvikling.

Denne typen leverandørkjedeangrep gjør det mulig å spre ondsinnet kode gjennom betrodde open source-biblioteker, ofte uten at utviklere er klar over det. Dermed kan selv små infeksjoner raskt skalere på tvers av flere prosjekter. SlowMist påpekte at tidligere hendelser, inkludert en tidligere API-nøkkellekkasje knyttet til Trust Wallet, kan ha hatt utspring i en eldre Shai-Hulud-versjon. Gjenkomsten av skadevaren vekker bekymring for at angripere finpusser og gjenbruker velprøvde metoder.

Hva som skiller Shai-Hulud 3.0

Sikkerhetsforskere sier at Shai-Hulud 3.0 viser tydelige tekniske endringer sammenlignet med tidligere versjoner. Analyser fra uavhengige forskere indikerer at skadevaren nå bruker andre filnavn. Den har også endret payload-strukturer og forbedret kompatibiliteten på tvers av operativsystemer. Den nye varianten skal angivelig ha fjernet en tidligere «dead man switch», en funksjon som kunne deaktivere skadevaren under visse forhold. Selv om dette fjerner noe risiko, tyder det også på at angriperne forenkler kjøringen for å unngå oppdagelse.

Forskerne observerte også at skadevaren ser ut til å være obfuskert fra den opprinnelige kildekoden, snarere enn kopiert direkte. Dette indikerer tilgang til tidligere angrepsmateriale og peker mot en mer sofistikert trusselaktør. Tidlige funn tyder på begrenset spredning så langt, noe som kan bety at angriperne fortsatt tester payloaden.

Forskere undersøker aktive NPM-pakker

Den uavhengige sikkerhetsforskeren Charlie Eriksen bekreftet at teamet hans aktivt undersøker den nye varianten. Ifølge offentlige redegjørelser ble skadevaren oppdaget i en spesifikk NPM-pakke, noe som utløste en grundigere gjennomgang av tilknyttede avhengigheter. Undersøkelsen viser at skadevaren forsøker å hente ut miljøvariabler, sky-legitimasjon og hemmelige filer. Deretter lastes dataene opp til lagre kontrollert av angriperne. Disse teknikkene samsvarer med tidligere Shai-Hulud-angrep, men viser mer raffinert sekvensering og feil­håndtering. Per nå sier forskerne at det ikke finnes bevis for et omfattende kompromiss. Samtidig advarer de om at leverandørkjedeangrep ofte eskalerer raskt når angriperne bekrefter stabilitet.

Bransjen oppfordres til å stramme inn avhengighetssikkerheten

SlowMist har rådet prosjekter til å revidere avhengigheter, låse pakkeversjoner og overvåke unormal nettverkstrafikk. Utviklere oppfordres også til å gjennomgå byggepipelines og begrense tilgangen til sensitive legitimasjoner. Selskapet understreker at leverandørkjedetrusler fortsatt er blant de mest undervurderte risikoene i Web3 og open source-programvare. Selv godt sikrede plattformer kan bli eksponert via tredjepartsbiblioteker. Mens etterforskningen pågår, anbefaler sikkerhetseksperter varsomhet fremfor panikk. Samtidig er de enige om at Shai-Hulud 3.0 er en tydelig påminnelse om at programvareleverandørkjeder fortsatt er et høyt prioritert mål.