Codice sotto assedio: il verme Shai-hulud trasforma l’open source in un campo di battaglia
Una nuova, più distruttiva variante del verme Shai-hulud si sta diffondendo nel software open source, minacciando sviluppatori e utenti con sabotaggi e furto di segreti.
In breve
- Il verme Shai-hulud prende di mira i repository open source, in particolare quelli su NPM e GitHub.
- L’ultima variante ha infettato oltre 25.000 repository e centinaia di account di sviluppatori.
- Questo verme non solo ruba credenziali, ma può anche distruggere file se non riesce a esfiltrare dati.
- Importanti progetti software come ENS Domains e PostHog sono stati colpiti.
- Gli esperti raccomandano la rotazione immediata delle credenziali e l’adozione di autenticazione avanzata per gli sviluppatori.
Il ritorno di un vecchio nemico
Immaginate un deserto digitale dove un predatore nascosto attende sotto la superficie. Questa è la realtà per migliaia di sviluppatori e aziende mentre il verme Shai-hulud si insinua nuovamente nell’ecosistema open source, più minaccioso che mai. Avvistato per la prima volta a settembre, Shai-hulud è un malware auto-replicante che si muove silenziosamente attraverso le catene di fornitura del software open source, proprio come un verme delle sabbie che scava invisibile sotto le dune.
Durante la sua prima comparsa, Shai-hulud ha dirottato account di sviluppatori, soprattutto su NPM (il più popolare registro di pacchetti JavaScript al mondo), utilizzandoli per diffondere versioni avvelenate di software affidabili. Questo ha permesso al verme di rubare credenziali sensibili da utenti ignari e, in un ciclo vizioso, usare quelle chiavi rubate per compromettere ancora più progetti. L’epidemia di settembre è stata allarmante, ma la comunità è riuscita a contenere parte dei danni peggiori-almeno per un po’.
Un salto di livello: dal furto al sabotaggio
L’ultima ondata, però, è molto più pericolosa. Secondo le società di sicurezza cloud Wiz e Koi Security, la nuova variante del verme-chiamata "Sha1-hulud"-non solo ruba credenziali da piattaforme come GitHub, Azure, AWS e Google Cloud, ma ora è dotata di una svolta crudele: se non riesce a sottrarre dati preziosi, tenta di cancellare tutto nella home directory della vittima. Immaginate un ladro che, se colto a mani vuote, incendia la vostra casa prima di andarsene. Questo segna un passaggio dal semplice furto di dati a un vero e proprio sabotaggio punitivo.
Importanti progetti open source sono già stati compromessi e, con oltre 25.000 repository colpiti, la campagna è ancora in corso. GitHub sta correndo per rimuovere i pacchetti malevoli, ma la diffusione rapida e automatizzata del verme rende difficile il contenimento.
Attacchi alla supply chain: la nuova normalità?
Shai-hulud fa parte di una tendenza più ampia: gli attacchi alla supply chain, in cui gli aggressori avvelenano i mattoni fondamentali del software su cui tutti facciamo affidamento. Negli ultimi anni si sono verificati incidenti simili, come la violazione di SolarWinds e il famigerato compromesso di event-stream su NPM. L’apertura dell’ecosistema open source è la sua più grande forza-e la sua più grande debolezza. Con milioni di pacchetti, molti dei quali mantenuti da una o due persone, un solo account compromesso può generare un caos globale.
Esperti come Merav Bar di Wiz e Idan Dardikman di Koi Security avvertono che difendersi da questi attacchi richiede un cambiamento culturale. Gli sviluppatori devono adottare pratiche di sicurezza robuste, come l’autenticazione a più fattori e la firma degli artefatti, mentre piattaforme come NPM devono gestire le credenziali in modo più sicuro. Si invita le organizzazioni a cercare segni di compromissione, ruotare le credenziali e rivedere le proprie catene di fornitura software come se fossero infrastrutture critiche-perché, nell’era digitale, lo sono davvero.
WIKICROOK
- Self: L’auto-preferenziazione si verifica quando un’azienda favorisce ingiustamente i propri prodotti o servizi rispetto a quelli dei concorrenti, spesso influenzando la concorrenza e la scelta dei consumatori.
- Repository open source: Un repository open source è uno spazio online dove il codice viene condiviso pubblicamente, permettendo a chiunque di visualizzare, utilizzare o contribuire a progetti software.
- Furto di credenziali: Il furto di credenziali avviene quando gli hacker rubano nomi utente e password, spesso tramite phishing o violazioni di dati, per accedere illegalmente ad account online.
- Attacco alla supply chain: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
- Multi: Multi si riferisce all’uso combinato di diverse tecnologie o sistemi-come satelliti LEO e GEO-per migliorare affidabilità, copertura e sicurezza.




