Ataque à cadeia de suprimentos do Mini Shai-Hulud ligado a incidentes de segurança do GitHub e Grafana

ChainCatcher relata que, segundo inteligência de ameaças publicada pela SlowMist, pacotes npm de alto uso recentemente, incluindo AntV e Echarts-for-react, bem como o SDK Python durabletask, sofreram ataque de cadeia de suprimentos chamado "Mini Shai-Hulud". A conta npm atool foi comprometida, e o atacante publicou automaticamente 637 versões maliciosas em 22 minutos, afetando 317 pacotes. O atacante fez upload consecutivo das versões 1.4.1, 1.4.2 e 1.4.3 do durabletask em 35 minutos, contornando controles normais de publicação e se passando por uma publicação oficial da Microsoft. O grande vazamento de tokens GitHub e o ataque de ransomware contra a Grafana Labs provavelmente estão relacionados a este ataque de cadeia de suprimentos. Os componentes afetados incluem componentes de alto uso no ecossistema npm, como AntV e Echarts-for-react, e os pacotes Python durabletask 1.4.1, 1.4.2 e 1.4.3. O atacante pode roubar credenciais de nuvem e locais, acessar não autorizadamente repositórios internos e infraestrutura sensível em nuvem, mover-se lateralmente para máquinas de desenvolvedores e pipelines CI/CD, vender e utilizar tokens GitHub vazados, e implementar ameaças de ransomware e vazamento de dados. A SlowMist recomenda imediatamente rotacionar todas as credenciais expostas, substituir os pacotes afetados, isolar sistemas possivelmente infectados e implementar políticas rigorosas de revisão de dependências. Anteriormente, foi relatado que o worm "Mini Shai-Hulud" recentemente realizou infecção em larga escala em repositórios de código aberto; desenvolvedores devem verificar cuidadosamente.