(Immediapress) – Milano, 25 settembre 2025. Kaspersky Threat Research ha analizzato il pacchetto patient zero del worm Shai-Hulud, scoprendo come questo malware autoreplicante sia riuscito a lanciare un attacco alla supply chain dell’ecosistema NPM. Da una recente ricerca di Kaspersky, il worm Shai-Hulud ha infettato 190 pacchetti unici su un totale di 530 versioni, il che significa che molti pacchetti avevano pi\u00f9 versioni violate durante l’attacco.
\n\u00a0<\/p>\n
\u00a0<\/p>\n
Il worm Shai-Hulud, un malware autoreplicante rivelato per la prima volta il 15 settembre 2025, si diffonde automaticamente attraverso gli account degli sviluppatori attraverso il furto di token di autenticazione e la pubblicazione di versioni infette di pacchetti legittimi. Sebbene l’impatto dell’attacco sia stato largamente documentato, l’analisi di Kaspersky rivela dettagli tecnici sui meccanismi di infezione iniziali e sui sofisticati metodi di diffusione del worm.\u00a0<\/p>\n
\u00a0<\/p>\n
Le ricerche condotte da Kaspersky confermano che la versione 18.1.4 di ngx-bootstrap \u00e8 stata il pacchetto \u201cpatient zero\u201d e spiegano imetodi tecnici degli obiettivi raggiunti. I ricercatori hanno individuato una caratteristica distintiva fondamentale: mentre tutti i pacchetti infetti successivi eseguivano il codice dannoso tramite script post-installazione, il pacchetto \u201cpatient zero\u201d utilizzava in modo univoco un comando pre-installazione, rivelandosi il punto di partenza piuttosto che una vittima della diffusione automatizzata.\u00a0<\/p>\n
\u00a0<\/p>\n
Il worm contiene funzionalit\u00e0 progettate specificamente per compromettere i repository privati delle organizzazioni su GitHub. Oltre a rubare i token di autenticazione, il worm migra automaticamente i repository privati e interni da account GitHub aziendali agli utenti, rendendo di fatto accessibile al pubblico il codice aziendale riservato ed esponendo interi codici proprietari.\u00a0<\/p>\n
\u00a0<\/p>\n
\u201cLa nostra analisi fornisce informazioni fondamentali sulle modalit\u00e0 operative di questo attacco alla supply chain e sulla reale portata dell\u2019esposizione dei repository\u201d, ha affermato Vladimir Gurskiy, Malware Analyst del Kaspersky Threat Research.\u201cLa migrazione sistematica del worm repository privato dagli account aziendali a quelli personali rappresenta una significativa escalation delle minacce alla supply chain, che potrebbero esporre anni di lavoro di sviluppo proprietario. Questa ricerca conferma il motivo per cui continuiamo a gestireil Kaspersky Open Source Software Threats Data Feed: le aziende hanno bisogno di informazioni in tempo reale sui pacchetti compromessi per proteggere le loro pipeline di sviluppo proprio da questo tipo di attacchi sofisticati\u201d.\u00a0<\/p>\n
\u00a0<\/p>\n
Le soluzioni Kaspersky identificano il malware come HEUR:Worm.Script.Shulud.gen. Le aziende possono verificare la presenza di infezioni cercando \u201cshai-hulud\u201d nei propri repository GitHub o la presenza di file shai-hulud-workflow.yml.\u00a0<\/p>\n
Maggiori informazioni sono disponibili su Securelist.
\n\u00a0<\/p>\n
\u00a0<\/p>\n
Kaspersky aveva gi\u00e0 segnalato la crescente tendenza degli attacchi alla supply chain che prendono di mira gli ecosistemi open source. I ricercatori dell’azienda hanno identificato la creazione di moduli dannosi come un vettore di attacco sempre pi\u00f9 diffuso tra gli autori delle minacce.\u00a0<\/p>\n
\u00a0<\/p>\n
\u00a0<\/p>\n
\u00a0<\/p>\n
\nKaspersky Threat Research
\n\u00a0<\/p>\n
\u00a0<\/p>\n
Il team Threat Research \u00e8 leader nella protezione contro le minacce informatiche. Impegnato attivamente sia nell’analisi delle minacce che nella creazione di tecnologie, gli esperti di TR assicurano che le soluzioni di cybersecurity di Kaspersky siano costantemente informate e eccezionalmente potenti, in grado di fornire informazioni essenziali sulle minacce e una protezione solida per i nostri clienti e per la community in generale.\u00a0<\/p>\n
\u00a0<\/p>\n
\nInformazioni su Kaspersky
\n\u00a0<\/p>\n
Kaspersky \u00e8 un\u2019azienda globale di cybersecurity e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti dalle minacce informatiche emergenti e dagli attacchi mirati, la profonda esperienza di Kaspersky in materia di sicurezza e di Threat Intelligence si trasforma costantemente in soluzioni e servizi innovativi per la sicurezza di aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. Il portfolio completo dell\u2019azienda comprende una protezione Endpoint leader, prodotti e servizi di sicurezza specializzati e soluzioni Cyber Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo oltre 200.000 aziende a proteggere ci\u00f2 che pi\u00f9 conta per loro. Per ulteriori informazioni \u00e8 possibile consultare https:\/\/www.kaspersky.it\/
\n\u00a0<\/p>\n
\u00a0<\/p>\n
\nSeguici su:
\n\u00a0<\/p>\n