Peneliti keamanan telah mengidentifikasi setidaknya 187 paket NPM yang dikompromikan dalam serangan rantai pasokan yang sedang berlangsung, dengan muatan propagasi diri yang berbahaya untuk menginfeksi paket lain.
Kampanye bergaya cacing terkoordinasi dijuluki ‘Shai-hulud’ dimulai kemarin dengan kompromi @Ctrl/TinyColor Paket NPM, yang menerima lebih dari 2 juta unduhan mingguan.
Sejak itu, kampanye ini telah berkembang secara signifikan dan sekarang termasuk paket yang diterbitkan di bawah namespace NPM CrowdStrike.
Dari Tinycolor ke crowdstrike
Kemarin, Daniel Pereira, seorang insinyur perangkat lunak backend senior, memberi tahu Komunitas untuk serangan rantai pasokan perangkat lunak skala besar yang mempengaruhi registri JavaScript terbesar di dunia, npmjs.com.
“Ada a [sic] Malware menyebar secara langsung di NPM saat Anda membaca ini, “tulis insinyur, memperingatkan semua orang untuk menahan diri dari menginstal versi terbaru dari @Ctrl/TinyColor proyek.
Pereira telah mencoba Dapatkan perhatian GitHub dalam 24 jam terakhir melalui saluran yang lebih bijaksana untuk membahas serangan yang sedang berlangsung sebagai “banyak repo yang ditargetkan,” dan mengungkapkan serangan itu secara terbuka dapat membuat orang berisiko.
“Tetapi menghubungi GitHub terlalu keras. Misalnya, rahasia diekspos dalam repo. Ini serius,” tulis insinyur.
Soket perusahaan keamanan rantai pasokan perangkat lunak mulai menyelidiki kompromi dan mengidentifikasi setidaknya 40 paket yang dikompromikan dalam kampanye ini. Hari ini, baik yang dimiliki oleh peneliti soket dan aikido mengidentifikasi paket tambahanmembawa penghitungan hingga setidaknya 187.
Keamanan Tiri juga diterbitkan Rincian teknis dengan cuplikan deobfuscated dan diagram aliran serangan, sebagian besar mengkonfirmasi temuan awal Socket.
Paket yang terpengaruh termasuk beberapa yang diterbitkan oleh akun NPMJS CrowdStrike Penerbit Crowdstrike.
BleepingComputer menjangkau penyedia solusi cybersecurity untuk komentar:
“Setelah mendeteksi beberapa paket Malicious Node Package Manager (NPM) di Public NPM Registry, repositori open source pihak ketiga, kami dengan cepat menghapusnya dan secara proaktif memutar kunci kami dalam pendaftar publik,” juru bicara Crowdstrike berbagi dengan BleepingComputer.
“Paket -paket ini tidak digunakan dalam sensor Falcon, platform ini tidak terpengaruh dan pelanggan tetap dilindungi. Kami bekerja dengan NPM dan melakukan penyelidikan menyeluruh.”
Worm propagasi mandiri menggunakan trufflufog untuk mencuri rahasia
Versi yang dikompromikan termasuk mekanisme propagasi diri yang menargetkan paket lain oleh pemelihara yang sama.
Malware mengunduh setiap paket dengan pemelihara, memodifikasi itu package.jsonmenyuntikkan a bundle.js Script (ditunjukkan di bawah), mengemas arsip, dan menerbitkannya kembali, dengan demikian “memungkinkan trojanisasi otomatis paket hilir,” seperti yang dijelaskan oleh para peneliti soket.
Itu bundle.js Script memanfaatkan TruffluFog, pemindai rahasia yang sah yang dapat digunakan oleh pengembang dan profesional keamanan untuk menemukan informasi sensitif yang bocor secara tidak sengaja seperti kunci API, kata sandi, dan token dalam repositori kode dan sumber data lainnya.
Namun, skrip jahat, menyalahgunakan alat untuk mencari host token dan kredensial cloud.
“Ini memvalidasi dan menggunakan kredensial pengembang dan CI, menciptakan alur kerja tindakan github di dalam repositori, dan mengekspam hasil ke webhook yang hardcoded (hxxps: // webhook[.]Situs/BB8CA5F6-4175-45D2-B042-FC9EBB8170B7), “jelas Socket.
Nama ‘shai-hulud’ berasal dari shai-hulud.yaml alur kerja File yang digunakan oleh malware yang ditemukan dalam versi yang dikompromikan, dan merupakan referensi ke cacing pasir raksasa di Frank Herbert’s Bukit pasir seri.
“Meskipun bukan referensi yang unik, kehadirannya memperkuat bahwa penyerang dengan sengaja mencap kampanye ‘shai-hulud,’” dinyatakan Peneliti soket Kush Pandya dan Peter van der Zee hari ini.
Malware yang ditemukan dalam paket tambahan yang diidentifikasi hari ini identik dengan untai sebelumnya yang digunakan bundle.js ke:
- Unduh dan Jalankan Alat Pemindaian Rahasia yang Sah, Truffluff
- Cari host untuk rahasia seperti token dan kredensial cloud
- Periksa apakah pengembang yang ditemukan dan kredensial CI valid
- Buat alur kerja tindakan gitub yang tidak sah dalam repositori
- Exfiltrate Data Sensitif ke Titik Akhir Webhook Hardcoded
Insiden mengikuti serangan skala besar yang sedang berlangsung seperti NX ‘S1ngularity’
Apa yang membuat serangan rantai pasokan ini menonjol, di luar paket populer yang dipukul, adalah waktunya.
Serangan itu mengikuti dua serangan rantai pasokan profil tinggi yang terjadi pada bulan yang sama.
Minggu pertama September, malware bertenaga AI Tekan 2.180 Akun GitHub Dalam apa yang dijuluki serangan ‘S1ngularity’.
Sementara akar penyebab serangan saat ini masih diselidiki, praktisi, termasuk Pereira, berhipotesis bahwa serangan saat ini mungkin telah diatur oleh para penyerang di belakang ‘S1ngularity’.
Awal bulan ini, pengelola populer Paket Kapur dan Debug NPM Juga menjadi korban phishing, dalam serangan terpisah, yang menyebabkan proyek mereka dikompromikan.
Efek riak dari serangan ini meluas jauh ke dalam rantai ketergantungan, berpotensi berdampak banyak proyek seperti Google Gemini Cli, yang merilis pernyataan Selama akhir pekan:
“Kami ingin lebih jelas: Kode Sumber Gemini CLI itu sendiri tidak dikompromikan, dan server kami tetap aman,” tulis Ryan J. Salva, direktur senior manajemen produk Google.
“Namun, kejadian ini mungkin telah mempengaruhi pengguna yang menginstal atau memperbarui Gemini CLI selama jendela serangan menggunakan metode instalasi NPM. Kami memberikan rincian tentang insiden tersebut, mengklarifikasi siapa yang terkena dampak, dan menguraikan langkah -langkah yang harus diambil pengguna untuk memastikan sistem mereka aman.”
Serangan -serangan yang sedang berlangsung ini menunjukkan kerapuhan rantai pasokan perangkat lunak modern, di mana satu permintaan tarikan jahat atau akun pemelihara yang dikompromikan dapat beralih ke ratusan proyek.
Sementara vendor seperti Google dan Crowdstrike menekankan platform inti mereka tetap aman, insiden tersebut menggarisbawahi kebutuhan mendesak bagi pengembang untuk melindungi pembuatan perangkat lunak dan pipa mereka.
Pengguna yang terkena dampak harus mengaudit lingkungan dan log mereka untuk tanda -tanda kompromi, memutar semua rahasia dan token CI/CD, dan meninjau pohon ketergantungan untuk versi jahat. Menyematkan dependensi untuk rilis tepercaya dan membatasi ruang lingkup penerbitan kredensial tetap menjadi langkah penting untuk mengurangi paparan kompromi tingkat paket.
