Кампания Shai-Hulud: крупнейшая атака на цепочку поставок npm в истории

2 часа назад / Технологии → Новости / Технологии

У разработчиков JavaScript наступили тяжелые времена. Компания Koi Security сообщила о «крупнейшей и наиболее опасной компрометации цепочки поставок npm в истории» под названием Shai-Hulud.

По данным Koi Security, кампания Shai-Hulud «затронула сотни пакетов у нескольких сопровождающих», включая «популярные библиотеки, такие как @ctrl/tinycolor, а также пакеты, поддерживаемые CrowdStrike». Проблема, вероятно, усугубится, прежде чем ситуация улучшится, поскольку это вредоносное ПО является червем, который автономно распространяется от пакета к пакету.

«Злоумышленники опубликовали вредоносные версии @ctrl/tinycolor и других npm-пакетов, внедрив большой обфусцированный скрипт (bundle.js), который выполняется автоматически во время установки», — сообщила Koi Security. — «Эта полезная нагрузка переупаковывает и переиздает проекты сопровождающих, позволяя вредоносной программе распространяться по смежным пакетам без прямого участия разработчиков».

Важно отметить: эта кампания отличается от инцидента, о котором мы писали 9 сентября, когда несколько npm-пакетов с миллиардами загрузок в неделю были скомпрометированы с целью кражи криптовалюты. Экосистема та же — атакующие явно поняли, что реестр npm (принадлежащий GitHub) для экосистемы Node.js является ценной целью, — но те, кто стоит за кампанией Shai-Hulud, охотятся не только за биткоинами.

«Внедренный скрипт выполняет операции по сбору учетных данных и обеспечению устойчивости, — пояснили в Koi Security. — Он запускает TruffleHog для сканирования локальных файловых систем и репозиториев на наличие секретов, включая токены npm, учетные данные GitHub и ключи доступа к облачным платформам [Amazon Web Services], [Google Cloud Platform] и Azure. Он также записывает скрытый файл рабочего процесса GitHub Actions (.github/workflows/shai-hulud-workflow.yml), который эксфильтрирует секреты во время выполнения CI/CD, обеспечивая долгосрочный доступ даже после первоначального заражения. Эта двойная направленность на кражу секретов с конечных точек и создание бэкдоров делает Shai-Hulud одной из самых опасных кампаний по сравнению с предыдущими компрометациями».

Тем, кому не приходится беспокоиться о разработке и распространении ПО на Node.js, это может показаться сложным. Но если кратко: Shai-Hulud использует известный инструмент наступательной безопасности (TruffleHog) вместе с инструментами разработчика (GitHub Actions) в среде, которая специально предназначена для помощи в распространении программного обеспечения без активного участия разработчиков (npm).

Ранее мы предполагали, что те, кто скомпрометировал npm-пакеты для кражи криптовалюты, оказали нам услугу, поскольку они могли использовать свой доступ к этим пакетам для проведения гораздо более серьезных атак. Теперь кажется, что кто-то как раз намерен это сделать — и трудно делать вид, что это удивительно, когда экосистема Node.js и инструменты вокруг нее практически созданы для обеспечения широкомасштабных атак подобного рода.

Koi Security обновляет свой блог-пост списком npm-пакетов, которые, как известно, были скомпрометированы в рамках кампании Shai-Hulud. StepSecurity также опубликовала индикаторы компрометации вместе с техническим анализом того, как распространяется вредоносное ПО, что оно делает и как организациям следует реагировать, если они обнаружат, что скомпрометированный пакет использовался в их инфраструктуре.

Источник: Tomshardware.com