資安公司Socket、JFrog、StepSecurity與OX Security,以及獨立研究員Adnan Khan,揭露密碼管理軟體開發公司Bitwarden遭遇供應鏈攻擊事故,並指出是資安公司Checkmarx大規模攻擊的一部分,而且得到Bitwarden證實。至於攻擊者的身分,上述研究人員提出不同看法。
JFrog先是於社群網站X發文指出,這起事故是TeamPCP攻擊Checkmarx的延續,不過他們後來發布部落格文章表示,有效酬載內含與小說《沙丘(Dune)》有關的種族、人名,以及巨型生物,駭客使用的GitHub儲存庫的名稱與說明也有類似情形,並聲稱是Shai-Hulud的第三波攻擊(Shai-Hulud: The Third Comingsardaukar)。對此,他們認為這起事故的攻擊者可能與Shai-Hulud有所交集。
OX Security認為,基於駭客在惡意套件嵌入第三波Shai-Hulud攻擊字串,攻擊者顯然就是從事軟體供應鏈攻擊的駭客組織Shai-Hulud。該公司提及,攻擊者來自俄羅斯,因為受害電腦若安裝與使用俄文,惡意軟體就無法執行。
Socket指出,在Checkmarx與Bitwarden的攻擊事故裡,儘管駭客共用作案工具,代表使用相同的惡意軟體生態系統,惡意軟體運作的某些特徵卻不相同,使得攻擊者身分更難釐清。
有別於TeamPCP暗示Checkmarx事故與他們有關,並在惡意軟體加入看似正常的描述,這次駭客直接將意識形態的品牌塑造(ideological branding)嵌入檔案,其中包含Shai-Hulud的資料庫名稱,以及小說裡的「巴特勒聖戰(Butlerian Jihad)」宣言。Socket認為,這代表攻擊Bitwarden的駭客使用Checkmarx事故的基礎設施,且具備強烈的意識形態,也可能代表Shai-Hulud活動出現目標的轉變。
