Un nou atac de tip supply-chain, numit Shai-Hulud, a compromis 19 pachete PyPI utilizate în principal în domenii științifice. Pachetele, descărcate colectiv de sute de mii de ori, au fost troianizate pentru a fura date sensibile ale dezvoltatorilor, precum chei API, token-uri SSH și parole.
Ce este atacul Shai-Hulud?
Denumit după viermii de nisip din romanul „Dune”, atacul vizează ecosistemul Python prin infectarea pachetelor legitime de pe PyPI. Cercetătorii de la ReversingLabs au descoperit că atacatorii au folosit tehnici de typosquatting și de hijack al conturilor de întreținători pentru a injecta cod malițios în pachete populare, precum „science-utils” și „physics-tools”.
Cum funcționează malware-ul?
Odată instalat, malware-ul colectează informații despre sistem, variabile de mediu și fișiere critice. Acesta comunică cu un server C2 (command-and-control) pentru a exfiltra datele furate. Spre deosebire de atacurile tipice, Shai-Hulud este conceput să rămână ascuns mult timp, mimând comportamentul pachetelor originale.
Impact și recomandări
Deși numărul de descărcări este semnificativ, impactul exact nu este încă cunoscut. Specialiștii recomandă verificarea imediată a dependințelor PyPI și actualizarea la versiunile curate. De asemenea, activarea autentificării cu doi factori pentru conturile PyPI poate reduce riscul de preluare.
Concluzie
Atacul Shai-Hulud subliniază vulnerabilitatea lanțului de aprovizionare software. Dezvoltatorii trebuie să fie vigilenți și să adopte practici de securitate precum scanarea regulată a dependințelor și monitorizarea activității suspecte.