Shai Hulud surgió por primera vez en septiembrerevelado por el descubrimiento de que docenas de bibliotecas npm, incluida una biblioteca de colores con más de 2 millones de descargas por semana, habían sido reemplazadas por versiones maliciosas.
La ola inicial de Shai-Hulud ya fue uno de los ataques a la cadena de suministro de JavaScript más graves que Wiz haya visto. Bar Meravidijo un investigador de amenazas de la empresa y coautor del informe OSC. «Esta nueva ola es más grande y más rápida: más de 25.000 repositorios creados por atacantes en aproximadamente 350 usuarios de GitHub, creciendo en alrededor de 1.000 repositorios cada 30 minutos, con malware que roba credenciales de desarrollador y de nube y se ejecuta en la fase de preinstalación, afectando a las máquinas de desarrollo y a los canales de CI/CD por igual. Esa combinación de escala, velocidad y acceso la convierte en una campaña de alto impacto».
Asumir compromiso
Si una persona hubiera retirado alguno de los paquetes afectados durante el período del 21 al 23 de noviembre, dijo, debería asumir que su entorno está expuesto. Los remedios incluyen borrar el caché npm en su estación de trabajo, eliminar módulos_nodoreinstalar desde versiones limpias o fijar versiones publicadas antes de los lanzamientos maliciosos y rotar cualquier token o secreto que estuviera presente (GitHub PAT, tokens npm, claves SSH, credenciales de nube).
