«TeamPCP is turning the knob up to 11 on their activities by releasing this to anyone who wants to use it.» — Ben Ronallo, principal cybersecurity engineer, Black Duck
SecurityWeek rapporterer at TeamPCP delte koden via flere GitHub-repoer med detaljerte bruksinstruksjoner, sammen med en melding kalt «Shai-Hulud: Open Sourcing The Carnage». GitHub fjernet repoene, men ifølge Datadog dukket flere forks opp umiddelbart. Ox Security sier trusselaktører allerede har modifisert koden og brukt den i nye angrep.
Gruppa eskalerte ved å lansere en parallell konkurranse på BreachForums: bruk Shai-Hulud-ormen mot et reelt mål, dokumenter inntrengningen, maksimer downstream-skaden, vinn penger. Det er en åpen invitasjon til kopikat-aktivitet.
Datadogs analyse av kildekoden avdekket et modulært rammeverk med loaders, secrets-harvesting-moduler, en informasjonsinnsamler, dispatcher, exfiltrators og mutators. Den er designet for å være vanskelig å signere: hver build får en ny tilfeldig passphrase som seeder string-encoding, så identisk kildekode gir ulike binær-hasher. «Defenders cannot generate YARA rules from one compiled sample and expect them to match the next deployment», advarer Datadog.
Ormen er målrettet mot utvikler- og skyhemmeligheter, API-nøkler, og bruker GitHub-repoer og en C&C-server for eksfiltrering. Den har persistens-mekanismer og en dead-man switch.
Hva bør du gjøre?
- Isoler og bygg om CI-systemer hvis du har en GitHub Actions-pipeline som installerer npm-pakker uten lockfile-pinning.
- Roter eksponerte credentials for utviklerkontoer og skytjenester. Anta at noe kan ha lekket.
- Begrens OIDC trusted publishing til snevre workflows og beskyttede branches. Pin og gjennomgå alle GitHub Actions du bruker.
- Overvåk npm install-atferd med verktøy som Socket eller npq. Behandle build-pipelines som produksjonssystemer.