SEK - Security Ecosystem Knowledge

SEK SECURITY ADVISORY

Nova onda Sha1-Hulud atinge mais de 25 mil repositórios via cadeia de suprimentos NPM
24 NOVEMBRO | 2025
SEVERIDADE: CRÍTICA

SEK SECURITY ADVISORY

New Sha1-Hulud Wave Hits Over 25,000 Repositories via NPM Supply Chain
NOVEMBER 24 | 2025
SEVERITY: CRITICAL

SEK SECURITY ADVISORY

Nueva ola Sha1-Hulud afecta más de 25 mil repositorios vía cadena de suministros NPM
24 NOVIEMBRE | 2025
SEVERIDAD: CRÍTICA

Overview

A comunidade de segurança está em alerta máximo devido a uma segunda onda de ataques Sha1-Hulud no ecossistema npm, representando uma nova fase da campanha de comprometimento de cadeia de suprimentos. Esta variante, significativamente mais agressiva que a anterior, comprometeu centenas de pacotes trojanizados entre 21 e 23 de novembro de 2025. O ataque se espalha rapidamente, afetando mais de 25.000 repositórios e atingindo pacotes de alto perfil de organizações como Zapier, ENS Domains e Postman.

O foco é a exfiltração maciça de credenciais sensíveis (NPM Tokens, chaves de cloud AWS/GCP/Azure) durante a fase de preinstall dos pacotes. O principal ponto de preocupação é a escalada tática do ator da ameaça. Caso a exfiltração de segredos falhe, o malware ativa uma funcionalidade tipo wiper (limpador), que destrói todo o diretório home do usuário infectado, configurando um claro comportamento de sabotagem punitiva.

Além disso, o malware estabelece persistência injetando scripts de self-hosted runner no GitHub e tenta ativamente o escalonamento de privilégios para acesso root sem senha, garantindo controle total sobre o sistema comprometido.

Análise Técnica

A nova variante do Sha1-Hulud emprega um método de propagação do tipo worm via scripts preinstall injetados.

Mecanismos de Ataque e Escala

  • Vetor de Infecção: O código malicioso é executado durante a fase preinstall via um script injetado (setup_bun.js) que ativa o payload principal (bun_environment.js). Este método maximiza a exposição em qualquer ambiente (desenvolvimento, build ou runtime) que execute a instalação do pacote.
  • Aceleração do Compromisso: A campanha demonstrou uma taxa de crescimento alarmante, chegando a afetar cerca de 1.000 novos repositórios a cada 30 minutos em seu pico, o que demonstra a eficácia do mecanismo de worm.
  • Persistência e Comando & Controle (C2): A máquina comprometida é registrada como um GitHub Actions self-hosted runner de nome "SHA1HULUD", e um workflow vulnerável (.github/workflows/discussion.yaml) é injetado. Isso permite que o atacante execute comandos arbitrários remotamente através de discussions no repositório de exfiltração.
  • Roubo de Dados: O malware utiliza ferramentas como TruffleHog para varrer o sistema e exfiltrar uma vasta gama de segredos, incluindo tokens de serviços cloud.
  • Escala e Sabotagem (Comportamento Wiper): O malware busca a escalada de privilégios tentando copiar um arquivo sudoers malicioso via manipulação de contêineres Docker privilegiados para obter acesso root sem senha. Se o malware falhar em se autenticar ou exfiltrar segredos, ele executa um comando destrutivo para apagar o diretório home do usuário, transformando o ataque de roubo de dados em um ato de sabotagem punitiva.

Produtos Afetados

  • Registro npm: Versões comprometidas de pacotes populares (ex: pacotes vinculados a Zapier, Postman, ENS Domains).
  • Ambientes de Desenvolvimento: Sistemas que executam a instalação dos pacotes infectados, especialmente ambientes de CI/CD e build.
  • Plataformas: Contas de usuários e repositórios no GitHub comprometidos, permitindo a exfiltração de GitHub Secrets e a instalação de self-hosted runners maliciosos.
  • Alvos de Credenciais: NPM Tokens, Credenciais AWS, GCP, Azure, variáveis de ambiente e quaisquer outros segredos rastreáveis.

Recomendações

Organizações que utilizam o ecossistema npm em seus ambientes de desenvolvimento ou CI/CD devem avaliar sua exposição e, caso identifiquem uso de pacotes potencialmente comprometidos, implementar as seguintes ações com urgência:

  • Remoção e Varredura: Revise todos os logs de instalação e varra os endpoints de desenvolvimento e build para identificar e remover todas as versões comprometidas dos pacotes npm.
  • Rotação Extensiva de Credenciais: Gire imediatamente todos os NPM Tokens e todas as chaves de acesso (AWS, GCP, Azure, etc.) que possam ter sido expostas em ambientes de desenvolvimento nos últimos dias.
  • Auditoria de Persistência (GitHub): Audite rigorosamente a lista de GitHub Actions self-hosted runners e remova qualquer entrada não autorizada, especialmente as nomeadas "SHA1HULUD". Verifique também a presença de workflows suspeitos no diretório .github/workflows/.
  • Implementar Restrições de Script: Configure políticas para desabilitar a execução de scripts em fases de alto risco (como preinstall e postinstall) ou utilize ferramentas de segurança de cadeia de suprimentos para validar pacotes.
  • Monitoramento de Comportamento: Monitore atividades incomuns de manipulação de arquivos do sistema (ex: sudoers) e tentativas de exclusão em massa no diretório home.

Fontes

Overview

The security community is on high alert due to a second wave of Sha1-Hulud attacks targeting the npm ecosystem, representing a new phase of the supply chain compromise campaign. This variant, significantly more aggressive than its predecessor, compromised hundreds of trojanized packages between November 21 and 23, 2025. The attack is spreading rapidly, affecting over 25,000 repositories and hitting high-profile packages from organizations such as Zapier, ENS Domains, and Postman.

The focus is on massive exfiltration of sensitive credentials (NPM Tokens, AWS/GCP/Azure cloud keys) during the preinstall phase of packages. The main concern is the tactical escalation by the threat actor. If secret exfiltration fails, the malware activates a wiper functionality that destroys the entire home directory of the infected user, representing clear punitive sabotage behavior.

Additionally, the malware establishes persistence by injecting self-hosted runner scripts into GitHub and actively attempts privilege escalation for passwordless root access, ensuring complete control over the compromised system.

Technical Analysis

The new Sha1-Hulud variant employs a worm-type propagation method via injected preinstall scripts.

Attack Mechanisms and Scale

  • Infection Vector: The malicious code executes during the preinstall phase via an injected script (setup_bun.js) that activates the main payload (bun_environment.js). This method maximizes exposure across any environment (development, build, or runtime) that runs the package installation.
  • Compromise Acceleration: The campaign demonstrated an alarming growth rate, reaching approximately 1,000 new repositories every 30 minutes at its peak, demonstrating the effectiveness of the worm mechanism.
  • Persistence and Command & Control (C2): The compromised machine is registered as a GitHub Actions self-hosted runner named "SHA1HULUD", and a vulnerable workflow (.github/workflows/discussion.yaml) is injected. This allows the attacker to execute arbitrary commands remotely through discussions in the exfiltration repository.
  • Data Theft: The malware uses tools like TruffleHog to scan the system and exfiltrate a wide range of secrets, including cloud service tokens.
  • Escalation and Sabotage (Wiper Behavior): The malware seeks privilege escalation by attempting to copy a malicious sudoers file via privileged Docker container manipulation to gain passwordless root access. If the malware fails to authenticate or exfiltrate secrets, it executes a destructive command to wipe the user's home directory, turning the data theft attack into an act of punitive sabotage.

Affected Products

  • npm Registry: Compromised versions of popular packages (e.g., packages linked to Zapier, Postman, ENS Domains).
  • Development Environments: Systems running installation of infected packages, especially CI/CD and build environments.
  • Platforms: User accounts and repositories on GitHub compromised, enabling exfiltration of GitHub Secrets and installation of malicious self-hosted runners.
  • Credential Targets: NPM Tokens, AWS, GCP, Azure credentials, environment variables, and any other traceable secrets.

Recommendations

Organizations using the npm ecosystem in their development or CI/CD environments should assess their exposure and, if they identify use of potentially compromised packages, implement the following actions urgently:

  • Removal and Scanning: Review all installation logs and scan development and build endpoints to identify and remove all compromised versions of npm packages.
  • Extensive Credential Rotation: Immediately rotate all NPM Tokens and all access keys (AWS, GCP, Azure, etc.) that may have been exposed in development environments in recent days.
  • Persistence Audit (GitHub): Rigorously audit the list of GitHub Actions self-hosted runners and remove any unauthorized entries, especially those named "SHA1HULUD". Also check for suspicious workflows in the .github/workflows/ directory.
  • Implement Script Restrictions: Configure policies to disable script execution during high-risk phases (such as preinstall and postinstall) or use supply chain security tools to validate packages.
  • Behavior Monitoring: Monitor unusual system file manipulation activities (e.g., sudoers) and mass deletion attempts in the home directory.

Sources

Overview

La comunidad de seguridad está en alerta máxima debido a una segunda ola de ataques Sha1-Hulud en el ecosistema npm, representando una nueva fase de la campaña de comprometimiento de cadena de suministros. Esta variante, significativamente más agresiva que la anterior, comprometió cientos de paquetes troyanizados entre el 21 y 23 de noviembre de 2025. El ataque se propaga rápidamente, afectando más de 25.000 repositorios y alcanzando paquetes de alto perfil de organizaciones como Zapier, ENS Domains y Postman.

El foco es la exfiltración masiva de credenciales sensibles (NPM Tokens, claves de cloud AWS/GCP/Azure) durante la fase de preinstall de los paquetes. El principal punto de preocupación es la escalada táctica del actor de amenaza. Si la exfiltración de secretos falla, el malware activa una funcionalidad tipo wiper (limpiador), que destruye todo el directorio home del usuario infectado, configurando un claro comportamiento de sabotaje punitivo.

Además, el malware establece persistencia inyectando scripts de self-hosted runner en GitHub e intenta activamente la escalada de privilegios para acceso root sin contraseña, garantizando control total sobre el sistema comprometido.

Análisis Técnico

La nueva variante de Sha1-Hulud emplea un método de propagación tipo worm vía scripts preinstall inyectados.

Mecanismos de Ataque y Escala

  • Vector de Infección: El código malicioso se ejecuta durante la fase preinstall vía un script inyectado (setup_bun.js) que activa el payload principal (bun_environment.js). Este método maximiza la exposición en cualquier ambiente (desarrollo, build o runtime) que ejecute la instalación del paquete.
  • Aceleración del Compromiso: La campaña demostró una tasa de crecimiento alarmante, llegando a afectar cerca de 1.000 nuevos repositorios cada 30 minutos en su pico, lo que demuestra la eficacia del mecanismo de worm.
  • Persistencia y Comando & Control (C2): La máquina comprometida es registrada como un GitHub Actions self-hosted runner de nombre "SHA1HULUD", y un workflow vulnerable (.github/workflows/discussion.yaml) es inyectado. Esto permite que el atacante ejecute comandos arbitrarios remotamente a través de discussions en el repositorio de exfiltración.
  • Robo de Datos: El malware utiliza herramientas como TruffleHog para escanear el sistema y exfiltrar una amplia gama de secretos, incluyendo tokens de servicios cloud.
  • Escalada y Sabotaje (Comportamiento Wiper): El malware busca la escalada de privilegios intentando copiar un archivo sudoers malicioso vía manipulación de contenedores Docker privilegiados para obtener acceso root sin contraseña. Si el malware falla en autenticarse o exfiltrar secretos, ejecuta un comando destructivo para borrar el directorio home del usuario, transformando el ataque de robo de datos en un acto de sabotaje punitivo.

Productos Afectados

  • Registro npm: Versiones comprometidas de paquetes populares (ej: paquetes vinculados a Zapier, Postman, ENS Domains).
  • Ambientes de Desarrollo: Sistemas que ejecutan la instalación de los paquetes infectados, especialmente ambientes de CI/CD y build.
  • Plataformas: Cuentas de usuarios y repositorios en GitHub comprometidos, permitiendo la exfiltración de GitHub Secrets y la instalación de self-hosted runners maliciosos.
  • Objetivos de Credenciales: NPM Tokens, Credenciales AWS, GCP, Azure, variables de ambiente y cualquier otro secreto rastreable.

Recomendaciones

Las organizaciones que utilizan el ecosistema npm en sus ambientes de desarrollo o CI/CD deben evaluar su exposición y, en caso de identificar uso de paquetes potencialmente comprometidos, implementar las siguientes acciones con urgencia:

  • Remoción y Escaneo: Revise todos los logs de instalación y escanee los endpoints de desarrollo y build para identificar y remover todas las versiones comprometidas de los paquetes npm.
  • Rotación Extensiva de Credenciales: Rote inmediatamente todos los NPM Tokens y todas las claves de acceso (AWS, GCP, Azure, etc.) que puedan haber sido expuestas en ambientes de desarrollo en los últimos días.
  • Auditoría de Persistencia (GitHub): Audite rigurosamente la lista de GitHub Actions self-hosted runners y remueva cualquier entrada no autorizada, especialmente las nombradas "SHA1HULUD". Verifique también la presencia de workflows sospechosos en el directorio .github/workflows/.
  • Implementar Restricciones de Script: Configure políticas para deshabilitar la ejecución de scripts en fases de alto riesgo (como preinstall y postinstall) o utilice herramientas de seguridad de cadena de suministros para validar paquetes.
  • Monitoreo de Comportamiento: Monitoree actividades inusuales de manipulación de archivos del sistema (ej: sudoers) e intentos de eliminación masiva en el directorio home.

Fuentes

Central de Conteúdos SEK

Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.

Acessar Central de Conteúdos

SEK Content Hub

Access our content hub and check out the latest reports and news on cybersecurity.

Access Content Hub

Central de Contenidos SEK

Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.

Acceder a la Central de Contenidos