Ontem, TeamPCP, uma equipe de hackers focada em ataques à cadeia de suprimentos, lançou o worm Shai-Hulud (em homenagem ao verme da areia do romance de ficção científica Duna) para uso no ecossistema NPM como código aberto. Os hackers downstream só precisam modificar algumas das opções e o servidor de controle de comando C2 conforme necessário para usá-lo, como infectar ambientes de desenvolvimento em nuvem mais pesquisados.
A equipe de hackers também afirmou claramente em sua introdução que esse worm foi escrito por meio de inteligência artificial. Independentemente da qualidade do código, este worm teve sucesso em vários ataques anteriores. Portanto, a divulgação do código-fonte do worm pode fazer com que o vírus se espalhe e seja reutilizado diretamente por hackers mais downstream.
Analistas da empresa de segurança OX disseram que é incompreensível que o TeamPCP abra o código do worm que desenvolveu e testou em combate real. No entanto, a julgar pela abordagem da equipa TeamPCP, a equipa parece estar mais focada em mostrar as suas habilidades. Claro, também é possível que mais hackers usem esse worm para confundir o público e tornar mais difícil para as empresas de segurança rastrear o TeamPCP.
Agora a Microsoft excluiu diretamente o repositório de worms do GitHub e baniu a conta do editor @PedroTortoriello. Além da exclusão do repositório principal, os forks relacionados também foram excluídos, o que significa que pelo menos o código-fonte do Shai-Hulud não pode ser encontrado no GitHub.
A divulgação pública do código-fonte desse worm é uma violação do contrato de uso do GitHub e é compreensível que o warehouse seja excluído e a conta banida pela Microsoft. No entanto, o código-fonte relevante foi tornado público na Internet e os hackers downstream podem continuar a obter o código-fonte através de outros métodos. Portanto, desde que o TeamPCP esteja disposto, não há dificuldade em continuar a divulgar o código-fonte.