מתקפת נוזקת Shai-Hulud השנייה בשבוע שעבר חשפה כ- 400,000 סודות פיתוח לאחר שהדביקה מאות חבילות ופרסמה מידע NPM – Node Package Manager גנוב מ- 30,000 מאגרי GitHub. למרות שרק כ- 10,000 מהסודות שנחשפו אומתו כתקפים על ידי כלי הסריקה בקוד פתוח TruffleHog, אומרים חוקרי סייבר בפלטפורמת אבטחת הענן Wiz שיותר מ- 60% מאסימוני ה- NPM שדלפו עדיין היו תקפים נכון ל- 1 בדצמבר. נוזקת Shai-Hulud הוציאה לפועל את מתקפתה הראשונה באמצע ספטמבר השנה ופגעה ב- 187 חבילות NPM על ידי הזרקת סקריפט זדוני לחבילות ופרסום אוטומטי. במתקפה השנייה פגעה הנוזקה בלמעלה מ- 800 חבילות (כולל כל הגרסאות הנגועות של החבילות) וכללה מנגנון הרסני אשר מחק את ספריית הבית של הקורבן אם התקיימו תנאים מסוימים.
חוקרי Wiz שניתחו את דלף הסודות שהופצו ממתקפת נוזקת Shai-Hulud על פני 30,000 מאגרי GitHub, מצאו כי נחשפו סוגי הסודות הבאים: כ- 70% מהמאגרים הכילו קובץ contents.json עם שמות משתמש ואסימונים של GitHub ותמונות קבצים; מחציתם הכילו את קובץ truffleSecrets.json שהכיל תוצאות סריקת TruffleHog; כ- 80% מהמאגרים הכילו את קובץ environment.json עם מידע על מערכת ההפעלה, מטא-נתונים של CI/CD, מטא-נתונים של חבילת npm ופרטי גישה של GitHub; כ- 400 מאגרים אירחו את actionsSecrets.json עם סודות זרימת עבודה של GitHub Actions. חוקרי Wiz ציינו כי הנוזקה השתמשה ב- TruffleHog ללא הדגל '-only-verified', כלומר 400,000 הסודות שנחשפו תואמים לפורמט ידוע וייתכן שאינם תקפים או שמישים עוד: "בעוד שהנתונים הסודיים דורשים מאמצים גדולים לביטול כפילויות, הם עדיין מכילים מאות סודות תקפים, כולל אסימוני ענן, אסימונים של NPM ותעודות VCS", הסבירו Wiz.
Wiz מאמינים כי מפעילי נוזקת Shai-Hulud ימשיכו לחדד ולפתח את הטכניקות שלהם והם צופים כי גלי תקיפה נוספים יתרחשו בעתיד הקרוב וייתכן שהנוזקה אף תמנף את אוסף האישורים העצום שנגנב עד כה.
