Kaspersky Threat Research ha analizzato il pacchetto patient zero del worm Shai-Hulud, scoprendo come questo malware autoreplicante sia riuscito a lanciare un attacco alla supply chain dell'ecosistema NPM. Da una recente ricerca di Kaspersky, il worm Shai-Hulud ha infettato 190 pacchetti unici su un totale di 530 versioni, il che significa che molti pacchetti avevano più versioni violate durante l'attacco.
Il worm Shai-Hulud, un malware autoreplicante rivelato per la prima volta il 15 settembre 2025, si diffonde automaticamente attraverso gli account degli sviluppatori attraverso il furto di token di autenticazione e la pubblicazione di versioni infette di pacchetti legittimi. Sebbene l'impatto dell'attacco sia stato largamente documentato, l'analisi di Kaspersky rivela dettagli tecnici sui meccanismi di infezione iniziali e sui sofisticati metodi di diffusione del worm.
Le ricerche condotte da Kaspersky confermano che la versione 18.1.4 di ngx-bootstrap è stata il pacchetto “patient zero” e spiegano i metodi tecnici degli obiettivi raggiunti. I ricercatori hanno individuato una caratteristica distintiva fondamentale: mentre tutti i pacchetti infetti successivi eseguivano il codice dannoso tramite script post-installazione, il pacchetto “patient zero” utilizzava in modo univoco un comando pre-installazione, rivelandosi il punto di partenza piuttosto che una vittima della diffusione automatizzata.
Il worm contiene funzionalità progettate specificamente per compromettere i repository privati delle organizzazioni su GitHub. Oltre a rubare i token di autenticazione, il worm migra automaticamente i repository privati e interni da account GitHub aziendali agli utenti, rendendo di fatto accessibile al pubblico il codice aziendale riservato ed esponendo interi codici proprietari.
“La nostra analisi fornisce informazioni fondamentali sulle modalità operative di questo attacco alla supply chain e sulla reale portata dell’esposizione dei repository”, ha affermato Vladimir Gurskiy, Malware Analyst del Kaspersky Threat Research. “La migrazione sistematica del worm repository privato dagli account aziendali a quelli personali rappresenta una significativa escalation delle minacce alla supply chain, che potrebbero esporre anni di lavoro di sviluppo proprietario. Questa ricerca conferma il motivo per cui continuiamo a gestire il Kaspersky Open Source Software Threats Data Feed: le aziende hanno bisogno di informazioni in tempo reale sui pacchetti compromessi per proteggere le loro pipeline di sviluppo proprio da questo tipo di attacchi sofisticati”.
Le soluzioni Kaspersky identificano il malware come HEUR:Worm.Script.Shulud.gen. Le aziende possono verificare la presenza di infezioni cercando “shai-hulud” nei propri repository GitHub o la presenza di file shai-hulud-workflow.yml.
Maggiori informazioni sono disponibili su Securelist.
Kaspersky aveva già segnalato la crescente
tendenza degli attacchi alla supply chain che prendono di mira gli ecosistemi
open source. I ricercatori dell'azienda hanno identificato la creazione di
moduli dannosi come un vettore di attacco sempre più diffuso tra gli autori
delle minacce.
- Utilizzare Kaspersky Open Source Software Threats Data Feed per monitorare in modo proattivo le dipendenze. Questo feed è progettato per aiutare le aziende a difendersi in modo proattivo dagli attacchi alla supply chain, fornendo informazioni in tempo reale sulle attività dannose che prendono di mira le piattaforme open source.
- Proteggere i dispositivi personali con Kaspersky Premium, che fornisce una protezione multilivello per prevenire e neutralizzare le infezioni da malware della supply chain rivolte ai token di autenticazione e alle credenziali memorizzate sui dispositivi.
- Proteggere gli ambienti di sviluppo Linux con Kaspersky for Linux per proteggere i server di compilazione e le pipeline CI/CD in cui sono installati ed eseguiti i pacchetti NPM, impedendo ai worm auto-diffondenti di compromettere l'intera infrastruttura di sviluppo.
- Installare le soluzioni Kaspersky Next per difendersi da diverse minacce alla cybersecurity in aziende di qualsiasi dimensione e settore, fornendo una protezione completa in tempo reale insieme a funzionalità avanzate di visibilità e analisi delle minacce. La linea di prodotti offre funzionalità EDR e XDR flessibili e multilivello, consentendo alle aziende di scegliere la soluzione più adeguata alle proprie esigenze e al proprio budget, con opzioni di aggiornamento continue in base all'evoluzione delle esigenze di sicurezza.
Kaspersky Threat Research
Il team Threat Research è leader nella protezione contro le minacce informatiche. Impegnato attivamente sia nell'analisi delle minacce che nella creazione di tecnologie, gli esperti di TR assicurano che le soluzioni di cybersecurity di Kaspersky siano costantemente informate e eccezionalmente potenti, in grado di fornire informazioni essenziali sulle minacce e una protezione solida per i nostri clienti e per la community in generale.
