Οι ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν μια νέα παραλλαγή του κακόβουλου λογισμικού Shai Hulud που αποκαλύπτει σημαντικές πληροφορίες για το πώς οι φορείς απειλών εξελίσσουν τις στρατηγικές επιθέσεων τους.
Το κακόβουλο λογισμικό, που παρατηρήθηκε για πρώτη φορά σε πρόσφατη ανάλυση ασφαλείας, παρουσιάζει σημαντικές αλλαγές σε σχέση με την αρχική του έκδοση, υποδηλώνοντας σκόπιμες βελτιώσεις που έγιναν από άτομα με βαθιά πρόσβαση στον πηγαίο κώδικα του ιού τύπου worm.
Αυτή η τελευταία ανακάλυψη σηματοδοτεί ένα ακόμη κεφάλαιο σε μια συνεχιζόμενη απειλή που συνεχίζει να στοχεύει περιβάλλοντα ανάπτυξης και να εξάγει ευαίσθητες πληροφορίες από συστήματα.
Το στέλεχος Shai Hulud είναι ένα εξελιγμένο κακόβουλο λογισμικό που έχει σχεδιαστεί για να διεισδύει σε περιβάλλοντα ανάπτυξης και να κλέβει κρίσιμα μυστικά, συμπεριλαμβανομένων των κλειδιών API, των μεταβλητών περιβάλλοντος και των διαπιστευτηρίων ελέγχου ταυτότητας.
Λειτουργεί διακυβεύοντας πακέτα JavaScript και διαδίδεται μέσω μολύνσεων στην αλυσίδα εφοδιασμού. Μόλις αναπτυχθεί, ο ιός τύπου worm μπορεί να έχει πρόσβαση στα αποθετήρια GitHub και να εξάγει πολύτιμα δεδομένα, γεγονός που το καθιστά σοβαρό προβληματισμό για οργανισμούς που βασίζονται σε πλατφόρμες ανάπτυξης cloud και συστήματα ελέγχου εκδόσεων.
Ερευνητές του Aikido αναγνωρισθείς αυτή η τροποποιημένη έκδοση μετά από ανάλυση διαφορών κώδικα που υποδηλώνουν έντονα σκόπιμη συσκότιση αντί για απλή αντιγραφή.
Τα στοιχεία δείχνουν ότι όποιος δημιούργησε αυτήν την παραλλαγή είχε άμεση πρόσβαση στον αρχικό πηγαίο κώδικα και επανέγραφε συστηματικά τμήματα για να αποφύγει τον εντοπισμό και να βελτιώσει τη λειτουργικότητα.
Αυτό υποδηλώνει ένα επίπεδο πολυπλοκότητας που δείχνει προς τους αρχικούς προγραμματιστές και όχι τους ευκαιριακούς παράγοντες απειλών που προσπαθούν να αναπαραγάγουν το σκουλήκι.
Εξέλιξη μέσω σφαλμάτων κώδικα και στρατηγικών βελτιώσεων
Το νέο στέλεχος αποκαλύπτει τόσο απρόσεκτα σφάλματα όσο και σκόπιμες βελτιώσεις που παρέχουν πληροφορίες για τη ροή εργασίας των προγραμματιστών.
Οι αναλυτές των ερευνητών του Aikido παρατήρησαν ένα κρίσιμο λάθος όπου το κακόβουλο λογισμικό επιχειρεί να ανακτήσει ένα αρχείο με το όνομα “c0nt3nts.json” αλλά το αποθηκεύει ως “c9nt3nts.json” λόγω αλλαγών ονομασίας μεταβλητών.
Αυτό το τυπογραφικό λάθος υποδηλώνει ότι οι φορείς απειλών τροποποίησαν τα ονόματα μεταβλητών κατά τη διαδικασία συσκότισης, αλλά απέτυχαν να ενημερώσουν όλες τις αντίστοιχες αναφορές.
.webp.jpeg "Ηθοποιοί απειλών που δοκιμάζουν την τροποποιημένη και εξαιρετικά ασαφή έκδοση του Shai Hulud Strain")
Πέρα από τα λάθη, η ενημερωμένη έκδοση παρουσιάζει στρατηγικές βελτιώσεις που ενισχύουν την αποτελεσματικότητά της. Το αρχικό αρχείο εγκατάστασης ονομάζεται πλέον “bun_installer.js” και το κύριο ωφέλιμο φορτίο χρησιμοποιεί το όνομα “environment_source.js”, το οποίο διαφέρει από προηγούμενες επαναλήψεις.
Όταν διαρρέει δεδομένα στο GitHub, το κακόβουλο λογισμικό αναγνωρίζει πλέον αποθετήρια με την περιγραφή “Goldox-T3chs: Only Happy Girl” αντί για προηγούμενες συμβάσεις ονομασίας.
Η νέα παραλλαγή αφαίρεσε επίσης τον μηχανισμό μεταγωγής νεκρού ανθρώπου που υπήρχε σε προηγούμενες εκδόσεις, απλοποιώντας τη λειτουργία του και μειώνοντας τις ευκαιρίες ανίχνευσης.
Το κακόβουλο λογισμικό χειρίζεται πλέον τη συμβατότητα μεταξύ πλατφορμών πιο αποτελεσματικά ελέγχοντας τον τύπο του λειτουργικού συστήματος και χρησιμοποιώντας το κατάλληλο εκτελέσιμο πρόγραμμα διαχείρισης πακέτων bun.
Σε συστήματα Windows, καλεί “bun.exe” αντί για “bun”, διορθώνοντας έναν περιορισμό που προηγουμένως εμπόδιζε την επιτυχή εκτέλεση σε μηχανήματα Windows.
Επιπλέον, η σειρά με την οποία συλλέγονται και αποθηκεύονται τα κλεμμένα δεδομένα έχει αλλάξει, με τις μεταβλητές περιβάλλοντος να υποβάλλονται σε επεξεργασία πριν από τα μυστικά της εφαρμογής, υποδηλώνοντας σκόπιμη βελτίωση του αγωγού εξαγωγής δεδομένων.
Αυτές οι τροποποιήσεις καταδεικνύουν ότι το Shai Hulud παραμένει ενεργός απειλή στη συνεχή ανάπτυξη.
Οι οργανισμοί που χρησιμοποιούν περιβάλλοντα ανάπτυξης που βασίζονται σε JavaScript θα πρέπει να εφαρμόζουν αυστηρές διαδικασίες επαλήθευσης πακέτων, να παρακολουθούν για ύποπτη πρόσβαση μεταβλητών περιβάλλοντος και να διατηρούν ολοκληρωμένη καταγραφή της χρήσης διαπιστευτηρίων στα συστήματά τους.
