Gisteren heeft TeamPCP, een hackerteam dat zich richt op supply chain-aanvallen, de worm Shai-Hulud (genoemd naar de zandworm in de sciencefictionroman Dune) vrijgegeven voor gebruik in het NPM-ecosysteem als open source. Downstream-hackers hoeven slechts enkele opties en de C2-opdrachtcontroleserver aan te passen als dat nodig is om deze te kunnen gebruiken, zoals het infecteren van meer gezochte cloudontwikkelomgevingen.

0351a315-2319-40eb-886e-769c4dc35b30.png

Het hackerteam stelde in hun inleiding ook duidelijk dat deze worm door middel van kunstmatige intelligentie is geschreven. Ongeacht de kwaliteit van de code is deze worm succesvol geweest bij verschillende eerdere aanvallen. Daarom kan het vrijgeven van de broncode van de worm ervoor zorgen dat het virus zich verspreidt en direct wordt hergebruikt door meer downstream-hackers.

Analisten van het beveiligingsbedrijf OX zeiden dat het onbegrijpelijk is dat TeamPCP de wormcode die het ontwikkelde en testte in daadwerkelijke gevechten open source zou maken. Afgaande op de aanpak van het TeamPCP-team lijkt het team zich echter meer te concentreren op het tonen van hun vaardigheden. Het is natuurlijk ook mogelijk dat meer hackers deze worm kunnen gebruiken om het publiek in verwarring te brengen en het voor beveiligingsbedrijven moeilijker te maken om TeamPCP te volgen.

Nu heeft Microsoft de wormrepository rechtstreeks van GitHub verwijderd en het account van de uitgever @PedroTortoriello verboden. Naast dat de hoofdrepository is verwijderd, zijn ook de bijbehorende forks verwijderd, wat betekent dat in ieder geval de Shai-Hulud-broncode niet op GitHub te vinden is.

Het publiekelijk vrijgeven van de broncode van een dergelijke worm is een schending van de GitHub-gebruiksovereenkomst, en het is begrijpelijk dat het magazijn zal worden verwijderd en het account door Microsoft zal worden verboden. De relevante broncode is echter openbaar gemaakt op internet en downstream-hackers kunnen de broncode op andere manieren blijven verkrijgen. Daarom is het, zolang TeamPCP daartoe bereid is, geen probleem om de broncode te blijven verspreiden.