A conta NPM de Zapier foi comprometida com sucesso, levando à injeção do malware Shai Hulud em 425 pacotes atualmente distribuídos pelo ecossistema NPM.
O ataque representa uma ameaça significativa à cadeia de abastecimento, com os pacotes afetados gerando coletivamente aproximadamente 132 milhões de downloads mensais em infraestruturas críticas e ferramentas de desenvolvimento.
Os pacotes carregados de malware abrangem várias organizações de alto perfil, incluindo AsyncAPI, ENS Domains, PostHog, Postman e o próprio Zapier.
Entre os pacotes comprometidos estão bibliotecas amplamente utilizadas, como @zapier/mcp-integration, @posthog/nextjs, @asyncapi/cli e @postman/secret-scanner-wasm, ferramentas comumente integradas em ambientes de produção e pipelines de desenvolvimento em todo o mundo.
Propagação de vermes e infecções secundárias
De acordo com Segurança do Aikidoo malware Shai Hulud opera como um worm de autopropagação, utilizando um mecanismo de teste incorporado em setup_bun.js para se espalhar para pacotes dependentes.
Quando executado durante a instalação do pacote, o malware grava o código de teste inicial na função bundleAssets, que então tenta localizar ou baixar o ambiente de execução Bun.
Se for bem-sucedido, o worm executa a carga útil bun_environment.js, que serve como o principal componente malicioso.
A técnica de propagação demonstra uma compreensão sofisticada do processo de instalação e construção de pipelines do npm.
O malware verifica a disponibilidade do Bun em vários caminhos e configurações do sistema, tenta instalá-lo se estiver faltando e manipula variáveis de ambiente para garantir a execução. Essa abordagem multiplataforma afeta sistemas Windows, Linux e macOS.
Além da execução de código malicioso, a variante Shai Hulud extrai credenciais e segredos confidenciais de sistemas infectados.
Esses segredos são publicados automaticamente para GitHub repositórios com nomes aleatórios e uma descrição consistente: “Sha1-Hulud: The Second Coming”.
A análise atual revela aproximadamente 26.300 repositórios expostos contendo credenciais vazadas, representando um vetor de ataque secundário para os agentes de ameaças.
Esta exfiltração de credenciais aumenta substancialmente o impacto do ataque, uma vez que roubos Chaves de APItokens de autenticação e outros segredos permitem movimentos laterais adicionais, acesso não autorizado à infraestrutura em nuvem e comprometimento potencial de serviços e contas conectados.
A análise da infraestrutura de ataque revela erros críticos cometidos pelos atores da ameaça.
Os pesquisadores descobriram vários pacotes comprometidos contendo o código de teste inicial (setup_bun.js) sem a carga útil do worm correspondente (bun_environment.js).
Pacotes comprometidos importantes do ataque Zapier NPM
| Nome do pacote | Organização | Caso de uso | Nível de risco |
|---|---|---|---|
| @zapier/mcp-integração | Zapier | Integração de protocolo de contexto de modelo | Crítico |
| @zapier/ai-actions | Zapier | Módulo de ações de IA | Alto |
| @zapier/zapier-sdk | Zapier | SDK da plataforma Zapier | Crítico |
| @posthog/nextjs | PostHog | Plug-in de análise Next.js | Crítico |
| @posthog/cli | PostHog | Interface de linha de comando | Alto |
| @posthog/servidor de plugin | PostHog | Servidor de processamento de eventos | Crítico |
| @asyncapi/cli | API assíncrona | Ferramenta CLI AsyncAPI | Crítico |
| @asyncapi/gerador | API assíncrona | Gerador de documentação de API | Alto |
| @asyncapi/parser | API assíncrona | Analisador de esquema | Alto |
| @carteiro/scanner secreto-wasm | Carteiro | Verificação Secreta (WASM) | Crítico |
| @postman/postman-mcp-cli | Carteiro | CLI do protocolo de contexto do modelo | Crítico |
| @postman/pm-bin-linux-x64 | Carteiro | Binário Postman Linux | Crítico |
| @ensdomains/ensjs | Domínios ENS | Biblioteca JavaScript ENS | Alto |
| @ensdomains/ens-contratos | Domínios ENS | Contratos Inteligentes | Alto |
| posthog-js | PostHog | Análise JavaScript | Crítico |
| nó posthog | PostHog | Análise de Node.js. | Crítico |
| zapier-plataforma-cli | Zapier | Plataforma Zapier CLI | Crítico |
| núcleo da plataforma zapier | Zapier | Biblioteca Central Zapier | Crítico |
Esta inconsistência parece resultar de uma implantação incompleta ou de uma configuração incorreta durante a execução do ataque.
A ausência da carga maliciosa primária em um subconjunto de pacotes infectados limitou temporariamente o impacto geral do ataque.
No entanto, o código de teste por si só representa um risco significativo, pois estabelece mecanismos de persistência e pode ser atualizado remotamente com recursos funcionais. cargas úteis de malware.
A comunidade npm e todas as organizações que utilizam pacotes Zapier afetados devem auditar imediatamente suas dependências e implementar medidas de detecção.
Os usuários devem revisar as instalações de pacotes das últimas horas, alternar credenciais comprometidas e monitorar os sistemas em busca de indicadores de comprometimento, incluindo downloads inesperados em tempo de execução ou criação de repositório GitHub.
Este incidente ressalta a vulnerabilidade persistente dos repositórios de pacotes centralizados ao comprometimento.
Ele destaca a importância crítica das práticas de segurança da cadeia de suprimentos, do gerenciamento de dependências e do monitoramento contínuo da integridade dos pacotes.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.