YARMOUTH, Maine — Los desarrolladores están recogiendo los pedazos luego del dispersión catastrófico del infame pillo Shai-Hulud 2.0 en el registro de Node Package Manager (NPM).
El infame infectó miles de repositorios, expuso hasta 400.000 secretos de desarrolladores y borró los directorios personales de las víctimas. Su objetivo principal era robar credenciales confidenciales, incluidos tokens de camino personal (PAT) de GitHub y claves API para las principales plataformas en la cirro como AWS, Google Cloud y Microsoft Azure.
Microsoft, en una modernización de orientación, calificó el ataque a la esclavitud de suministro como “…uno de los compromisos más importantes del ecosistema nativo de la cirro observados recientemente”.
Joe Saunders, fundador y director ejecutante de RunSafe Security, advirtió sobre las implicaciones más amplias:
“Shai-Hulud v2 demuestra la ligereza con la que un único punto de compromiso puede explayarse a través de los ecosistemas cuando los procesos automatizados de creación y publicación se dejan desprotegidos”, dijo. “Los atacantes no confiaron en nuevos días cero: explotaron los flujos de trabajo de empaquetado y CI cotidianos que la mayoría de las organizaciones suponen que son seguros”.
Aunque la propagación del infame se ha ralentizado, sigue siendo una amenaza activa y expertos como Saunders no están seguros de cuánto tiempo persistirá.
“Incidentes como este resaltan por qué la industria debe tener lugar de reaccionar en presencia de el malware luego de su distribución a animar preventivamente el software en el momento de su construcción”, afirmó. “Al eliminar la reutilización de exploits a nivel binario y avalar que cada artefacto esté protegido de forma única, podemos someter drásticamente el radiodifusión de acceso de estos ataques a la esclavitud de suministro”.
Al obstrucción de esta tiraje, el ataque había comprometido entre 600 y 800 paquetes NPM y generó entre 25.000 y 30.000 repositorios maliciosos de GitHub, lo que afectó a cientos de miles de desarrolladores.
La piloto para la detección y defensa contra el infame ha sido proporcionada por microsoft.
About The Author
