Entrar
bukib
0 bukibs
Columbus, Ohio
Hora local: 13:51
Temperatura: °C
Probabilidade de chuva: %

Vírus inspirado em Duna apaga seus arquivos se não conseguir roubar dados

Um Novo Malware Inspirado em Duna: Shai Hulud 2.0

Um novo malware do tipo worm, chamado de Shai Hulud 2.0, surgiu em setembro deste ano, distribuído pelo Node Package Manager (npm). Inspirado nos vermes das areias da obra Duna, de Frank Herbert, este malware apresenta dois estágios, comprometendo pacotes npm e apagando arquivos caso não obtenha sucesso em roubar dados.

O Shai Hulud 2.0 foi estudado por especialistas da Kaspersky, que descobriram que mais de 800 pacotes npm foram infectados pela nova versão do worm. O malware fez muitas vítimas no Brasil, além de casos registrados na China, Índia, Rússia, Turquia e Vietnã.

Como Funciona o Shai Hulud 2.0

Quando um desenvolvedor instala um pacote npm infectado pelo Shai Hulud 2.0, o script setup_bun.js roda durante a fase de pré-instalação. Esse script inicial fica propositalmente não ofuscado e bem documentado, fingindo ser uma ferramenta inofensiva de instalação do runtime Javascript legítimo Bun.

No entanto, o procedimento prepara o ambiente de execução para as próximas etapas do malware. O runtime Bun executa um payload de segundo estágio, bun_environment.js, um script malicioso que começa a fase de coleta de informações do usuário.

O Shai Hulud 2.0 rouba segredos do Github, como configurações GitHub CLI e variáveis do ambiente, além de criar um workflow malicioso yml no repositório da vítima para obter dados do GitHub Actions. Além disso, o malware rouba credenciais de nuvem, como Azure, AWS e Google Cloud, e arquivos locais.

Consequências do Ataque

Se o token de acesso da vítima for encontrado, o malware cria um canal de comunicação por um repositório GitHub público para exfiltrar os dados. Caso contrário, o script tenta obter um token roubado anteriormente de outra vítima.

Se tokens npm ou do GitHub não são obtidos pelo malware, um payload destrutivo é ativado, apagando os arquivos do usuário, principalmente do diretório home.

A Kaspersky bloqueou, desde setembro, mais de 1.700 ataques do Shai Hulud 2.0 em máquinas de usuários, com 18,5% deles na Rússia, 10,7% na Índia e 9,7% no Brasil.

  • Locais afetados: Brasil, China, Índia, Rússia, Turquia e Vietnã
  • Número de pacotes npm infectados: mais de 800
  • Número de ataques bloqueados: mais de 1.700

Este conteúdo pode conter links de compra.

Fonte: link