GODINU dana nakon što je greška u sustavu tvrtke za kibernetičku sigurnost CrowdStrike izazvala globalni pad računalnih sustava, ovaj se dobavljač softvera suočava s novom prijetnjom - rojem samoreplicirajućih crva. Kako je prvi izvijestio istraživački novinar Brian Krebs, CrowdStrike je ponovno postao platforma za širenje potencijalno razorne sigurnosne prijetnje nakon što je oko 25 paketa koda kompromitirano novim sojem zlonamjernog softvera, piše Futurism.

Crv inspiriran znanstvenom fantastikom

Zlonamjerni softver, nazvan "Shai-Hulud" po mitskom pješčanom crvu iz znanstveno-fantastičnog romana "Dina" Franka Herberta, dizajniran je da se infiltrira u razvojna računala putem JavaScript repozitorija "Node Package Manager" (NPM), široko korištene baze podataka softverskih modula. Prema Krebsovim saznanjima, nakon što malware ukrade vjerodajnice sa zaraženog računala, svoje nalaze objavljuje u javnoj datoteci na GitHubu, koja uključuje i ime "Shai-Hulud".

Kaskadni efekt zaraze

Ono što Shai-Hulud čini posebno opasnim jest njegova sposobnost širenja. Svaki put kada developer instalira zaraženi modul s NPM-a, crv pretražuje sustav u potrazi za "pristupnim tokenima" - ključevima koji omogućuju preuzimanje NPM sadržaja bez korisničkog imena i lozinke. Potom zarazi 20 najpopularnijih paketa povezanih s računom tog korisnika.

"To stvara kaskadni učinak gdje zaraženi paket dovodi do kompromitiranih vjerodajnica održavatelja, što zauzvrat zarazi sve ostale pakete koje održava taj korisnik", pojasnio je istraživač StepSecurityja, Ashish Kurmi. U svojoj analizi napada, softverski inženjer Karlo Zanki iz ReversingLabsa nazvao je Shai-Hulud "prvim samoreplicirajućim crvom te vrste".

Brza reakcija i upozorenja stručnjaka

Do sada je, prema Krebsovim informacijama, pogođeno najmanje 187 NPM modula, uključujući 25 kojima upravlja CrowdStrike. Zanimljivo je da je crv dizajniran tako da cilja računala s operativnim sustavima Linux ili Mac, dok "namjerno preskače" Windows računala. NPM i CrowdStrike brzo su reagirali i uklonili zaražene pakete, usporivši time širenje crva.

"Nakon što smo otkrili nekoliko zlonamjernih NPM paketa u javnom NPM registru, repozitoriju otvorenog koda treće strane, brzo smo ih uklonili i proaktivno rotirali naše ključeve u javnim registrima", izjavio je predstavnik CrowdStrikea za The Hacker News. Charlie Eriksen, istraživač iz sigurnosne tvrtke Aikido, bio je još oštriji u intervjuu s Krebsom. "Ovaj napad bih gotovo smatrao 'živom' stvari, poput virusa", upozorio je. "Jer može neko vrijeme mirovati, a ako se samo jedna osoba slučajno zarazi, mogla bi ponovno pokrenuti širenje. Pogotovo ako dođe do napada 'super-širitelja'."