Alig néhány órája számoltunk be arról, hogy a hírhedt, npm csomagokat célzó féreg újra aktívan terjed, és úgy tűnik, igen gyorsan újabb szintet lépett. Ugyanis a TeamPCP malware-csoport minden jel szerint nyílt forráskódúvá tette a Shai-Hulud nevű férget.
Az Ox biztonsági vállalat kedden két GitHub-repozitóriumra figyelt fel, amelyek az alábbi szöveget tartalmazták:
„Shai-Hulud: Open Sourcing The Carnage
Is it vibe coded? Yes. Does it work? Let results speak.
Change keys and C2 as needed. Love – TeamPCP”
vagyis magyarul:
„Shai-Hulud: Nyílt forráskódú a pusztítás
Vibe-kódolt? Igen. Működik? Beszéljenek az eredmények.
Változtassatok kulcsokat és C2-t ahogy tetszik. Szeretettel – TeamPCP”
A The Register néhány órával a cikk publikálása előtt ellenőrizte a repositorykat: az egyik akkor egyetlen forkot, a másik 31-et mutatott. A cikk írásának időpontjára ezek a számok már 5, illetve 39 forkra emelkedtek.
Ez a növekedés összhangban van az Ox állításával, miszerint a független kiberbűnözők már megkezdték a kód módosítását és a malware terjesztési képességeinek bővítését. A nyílt forráskódúvá tétellel a TeamPCP gyakorlatilag bárki számára elérhetővé tette a saját variánsok létrehozásához szükséges eszközöket. Az első módosított változatok már meg is jelentek.
A Shai-Hulud féreg elsősorban npm-csomagokat támad. Sikeres kompromittálás esetén AWS-, GCP-, Azure- és GitHub-hitelesítő adatokat próbál megszerezni. Ha hozzáférést nyer, fertőzött kódot hoz létre és publikál annak érdekében, hogy tovább terjessze önmagát. Bizonyos esetekben, amennyiben a malware nem tudja végrehajtani a műveleteket, megpróbálhatja törölni a helyi környezetet is.
A kutatók először 2025 szeptemberében azonosították a malware-t, majd ugyanazon év novemberében megjelent egy még fejlettebb variánsa is. Azóta több másolat is megjelent, miközben az eredeti Shai-Hulud folyamatosan terjed az interneten.
A malware-fejlesztők esetében ritkán ugyan, de időnként előfordul, hogy értékesítik eszközeiket más bűnözők számára, hogy azok saját igényeik szerint módosíthassák a kódot. Ennél azonban jóval ritkább, hogy a kiberbűnözők ingyenesen hozzáférhetővé tegyék saját fejlesztéseiket. A TeamPCP az MIT licencet választotta, amely széles körű lehetőséget biztosít a kód újrafelhasználására.
A cikk írásának időpontjában a Shai-Hulud repositoryk már legalább 12 órája elérhetők online, és úgy tűnik, a GitHub egyelőre nem avatkozott közbe.