Siber Güvenlik ve Altyapı Güvenlik Ajansı güvenlik ekiplerini sistemlerini izlemeye çağırdı Düğüm Paketi Yöneticisi ekosistemine çarpan büyük bir tedarik zinciri saldırısının ardından.
Shai-hulud adı altında izlenen saldırı, kendinden kopyalayan bir solucandan daha fazla tehlikeye atılan bir solucan içeriyordu. 500 yazılım paketiStep Security’e göre.
Erişim kazandıktan sonra, kötü niyetli bir saldırgan kötü amaçlı yazılım enjekte etti ve ortamı hassas kimlik bilgileri için taradı. Kimlik bilgileri, Amazon Web Services, Google Cloud Platform ve Microsoft Azure dahil olmak üzere çeşitli bulut hizmetleri için GitHub kişisel erişim belirteçleri ve uygulama programlama arayüzü anahtarlarını içeriyordu.
Çalıntı kimlik bilgileri saldırgan tarafından kontrol edilen bir uç noktaya yüklendi ve daha sonra Shai-hulud adlı bir kamu deposuna yüklendi.
Palo Alto Networks’teki araştırmacılar, saldırganın kötü niyetli senaryoyu yazmak için bir LLM kullandığını söyledi. Güncellenmiş bir blog gönderisine göre Salı günü yayınlandı.
Github Pazartesi dedi Saldırıların etkisini azaltmak için harekete geçti. GitHub, NPM kayıt defterinden 500’den fazla paketi kaldırdı. Ayrıca, kötü amaçlı yazılımların uzlaşma göstergelerini içeren yeni paketler engellendi.
CISA, güvenlik ekiplerini, ortamlarının tehlikeye girmediğinden emin olmak için bir dizi hafifletme adımı atmaya çağırıyor. Aşağıdaki önlemleri içerirler:
- NPM paket ekosisteminden yararlanan tüm yazılımların bağımlılık incelemesini yapın.
- Artefakt depolarındaki etkilenen bağımlılıkların önbelleğe alınmış versiyonlarını ve bağımlılık yönetimi araçlarını arayın.
- Hemen tüm geliştirici kimlik bilgilerini döndürün.
- Geliştirici hesaplarına kimlik avına dayanıklı çok faktörlü kimlik doğrulama uygulayın.