Devam eden bir tedarik zinciri saldırısı, Crowdstrike tarafından yayınlanan ve “Shai-Halud Saldırısı” olarak bilinen kötü niyetli bir kampanyayı genişleterek birden fazla NPM paketini tehlikeye attı.
Daha önce popüler Tinycolor paketini hedeflemek için kullanılan aynı kötü amaçlı yazılımları içeren olay, açık kaynaklı ekosistem içindeki kalıcı tedarik zinciri güvenlik açıkları tehdidini vurgulamaktadır.
NPM Kayıt Defteri, etkilenen paketleri kaldırmak için hızlı bir şekilde hareket etti, ancak geliştiricilerin ve kuruluşların potansiyel hasarı azaltmak için derhal harekete geçmeleri isteniyor.
Uzlaşma, crowdstrike-publisher NPM hesabı ve Shai-Halud tedarik zinciri kampanyasının devamı olarak tanımlanmıştır.
Dağıtılan kötü amaçlı yazılım, gözlemlenenle aynıdır. tinycolor olay, tehdit aktörleri tarafından tutarlı bir modus operandi olduğunu gösteriyor.
Saldırının çekirdeği kötü niyetli bundle.js Seyirsel paketlerin içine gömülü komut dosyası. Bir kez yürütüldükten sonra, bu senaryo hassas kimlik bilgilerini çalmak ve kurban ortamlarında kalıcılık oluşturmak için tasarlanmış çok aşamalı bir süreç başlatır.
Sokete göre, senaryo, sır ve kimlik bilgilerini taramak için tasarlanmış meşru bir açık kaynaklı araç olan Trufflehog’u indirip çalıştırarak başlar.
Güvenilir bir araçtan yararlanarak, saldırganlar ana bilgisayar sistemini API jetonları ve bulut kimlik bilgileri gibi değerli varlıklar için ararken algılamadan kaçmaya çalışırlar.
Keşfedildikten sonra, bu sırlar aktif olduklarından emin olmak için doğrulanır. Kötü amaçlı yazılım daha sonra, tehlikeye atılan depolarda yetkisiz GitHub eylemleri iş akışları oluşturur ve saldırganların erişimi sürdürmesini ve daha fazla kötü amaçlı faaliyetleri otomatikleştirmesini sağlar. Sındırılan tüm veriler, saldırganlar tarafından kontrol edilen sert kodlanmış bir Webhook uç noktasına gönderilir.
Devam eden NPM tedarik zinciri saldırısı
Socket, bu saldırıda önemli sayıda paket ve belirli versiyonların tehlikeye atıldığını söyledi.
Etkilenen paketler, @crowdstrike/commitlint– @crowdstrike/glide-core– @crowdstrike/logscale-dashboardVe eslint-config-crowdstrikediğerleri arasında.
| Paket adı | Etkilenen sürüm (ler) |
|---|---|
@crowdstrike/commitlint |
8.1.1, 8.1.2 |
@crowdstrike/falcon-shoelace |
0.4.2 |
@crowdstrike/foundry-js |
0.19.2 |
@crowdstrike/glide-core |
0.34.2, 0.34.3 |
@crowdstrike/logscale-dashboard |
1.205.2 |
@crowdstrike/logscale-file-editor |
1.205.2 |
@crowdstrike/logscale-parser-edit |
1.205.1, 1.205.2 |
@crowdstrike/logscale-search |
1.205.2 |
@crowdstrike/tailwind-toucan-base |
5.0.2 |
Kötü niyetli Sha-256 karması bundle.js Dosya olarak tanımlandı 46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09.
Bir Crowdstrike sözcüsü, CybersecurityNews’e şunları söyledi: “Kamu NPM kayıt defterinde birkaç kötü amaçlı düğüm paketi yöneticisi (NPM) paketini tespit ettikten sonra, üçüncü taraf açık kaynak depoları, kamu kayıtlarındaki anahtarlarımızı hızla kaldırdık ve proaktif olarak döndürdük. Bu paketler, falcon algılamamış ve müşterilerin korunmasının, nöbeti kullanılmaz, platformun çalıştırılmaması, platformun korunmadığı, platformda kullanılmaması, platformda kullanılmamalıdır. soruşturma.”
Kuruluşlara CI/CD boru hatları, geliştirici dizüstü bilgisayarları ve kötü amaçlı paketlerin kurulmuş olabileceği diğer ortamları kapsamlı denetimler yapmaları şiddetle tavsiye edilir.
Bu sistemlere maruz kalan herhangi bir NPM jetonu veya diğer sırlar derhal döndürülmelidir. Ayrıca, olağandışı için günlüklerin sürekli izlenmesi npm publish Herhangi bir takip etkinliğini tespit etmek için olaylar veya yetkisiz paket değişiklikleri çok önemlidir.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free