Popüler NX Build sistemine yaygın bir tedarik zinciri saldırısı, düzinelerce yüksek trafikli paketten ödün verdi, hassas kimlik bilgilerini açığa çıkardı ve gelecekteki tehditlere korkutucu derecede kapsamlı bir yaklaşım gösterdi.
Güvenlik araştırmacıları, NX’in (20.9.0 ila 21.8.0 numaralı numaralandırılmış kötü niyetli sürümlerinin, sistematik olarak taranmış enfekte makineleri, özenle kodlanmış bir formatta kamu Github depolarına eksfiltrat etmeden önce geniş bir sıralar için doğruladığını doğruladılar.
Kurulum üzerine, lekeli NX paketleri Github jetonlarını, NPM kimlik doğrulama anahtarlarını, SSH özel anahtarlarını, ortam değişken API anahtarlarını ve kripto para birimi cüzdan dosyalarını hasat etmek için rutinler başlattı.
Kötü amaçlı yazılım, geliştirici sistemlerinde yanal hareketi kolaylaştırmak için tam bir kimlik bilgisi yelpazesi izleyerek ortak dosya yollarını ve ortam değişkenlerini araştırdı.
Toplandıktan sonra, çalınan sırlar çift bazlı 64 kodlandı ve benzersiz bir şekilde adlandırıldı “S1Ngigues-Reepository” GitHub depolarına, her biri tek bir results.b64 dosya. Bu yöntem, temel algılama mekanizmalarını geçerken veri bütünlüğünü sağladı.
GitHub uygulaması NX Cloud ve GitHub arasındaki etkileşimleri kolaylaştırır ve kolaylaştırır.
Her şeyden önce, GitHub’a eksfiltrasyonun etkili olduğuna dikkat edilmelidir. Dalganın yüksekliğinde, GitHub aracılığıyla yaklaşık 1.400 depolara kamuya açık olarak erişilebilir.
İnternet folkloruna bir başıyla analistler, bir saldırganın YouTube bağlantısını Rick Astley’in “Asla Vazgeçmeyecek” ile kodladığını, tedarik zinciri bilgisayar korsanlarının klasik şakalara karşı bağışık olmadığını kanıtladığını keşfetti.
Yıkıcı yükler ve LLM vektörleri
Kimlik Hırsızlığı’nın ötesinde, kötü amaçlı yazılım, kullanıcıların kabuk başlangıç dosyalarını değiştiren yıkıcı rutinleri içeriyordu (~/.bashrc Ve ~/.zshrckapanma komutları ile.
Bu, yeni bir terminal oturumu açmanın, geliştirme ortamlarında etkili bir şekilde kaos ekerek ana makineyi çökertebileceği anlamına geliyordu.
Dikkat çekici bir şekilde, saldırganlar yeni bir saldırı yüzeyi olarak büyük dil modeli (LLM) müşterilerinden yararlanmaya çalıştılar.
Claude, İkizler ve Q gibi AI CLI araçları için kötü amaçlı kod hedefli yapılandırma dosyaları ve kimlik doğrulama jetonları – bu araçların genellikle yüksek izinlerle ve hassas geliştirme iş akışlarına doğrudan erişim ile çalıştığını bilerek.
LLM kimlik bilgilerini numaralandırarak ve hasat ederek, saldırganlar erişimlerini modern AI destekli boru hatlarına genişletmeyi amaçladılar.
LLM Tool Prevalence: Geri ihlal edilen sistemlerden% 33’ünde en az bir LLM istemcisi kuruldu ve saldırganların AI araçlarını kullanma stratejisini doğruladı.
LLM uyumluluk direnci: LLM numaralandırmasını hedefleyen 366 sistem arasında, sadece 95’e uyuldu. /tmp/inventory.txt dosya. Birçok AI aracı, geliştirme yığınında istenmeyen bir savunma katmanı sunarak kimlik bilgisi hasat komutlarını açıkça reddetti.
İşletim sistemi yanlılığı: Analiz, enfekte makinelerin% 85’inin macOS çalıştırdığını ve saldırının Apple’ın geliştirici ekosistemindeki güçlü etkisinin altını çizdiğini gösteriyor.
Gitguardian’ın halka açık izlemesi
Gitguardian’ın saldırganlar ve savunucular için görülebilen izleme altyapısı, “S1NGularity-Repository” önekini taşıyan 1.346 depoları izledi.
Buna karşılık, GitHub’ın genel API’si, hızlı yayından kaldırma gösteren sadece on aktif depoyu listeledi. 27 Ağustos, 00:32:48 ve 15:36:57 CET arasında Gitguardian, toplam 2.349 farklı kimlik bilgisi olan en az bir sızdırılmış sır içeren 1.079 depo tespit etti.
En sık sızıntılar GitHub OAuth uygulama anahtarları, NPM jetonları, AWS kimlik bilgileri ve Openai API anahtarlarını içeriyordu – birçoğu analiz sırasında hala geçerli.
Bu sırların yarısı aktif kaldı ve geliştiriciler arasında yavaş rotasyon uygulamalarını vurguladı.
28 Ağustos’ta Gitguardian, yerel ortamları bu saldırıda tehlikeye atılan dosyalar için inceleyen ücretsiz, açık kaynaklı bir araç olan S1Nguguity Scanner’ı yayınladı.
Tarayıcı, çevre değişkenlerini ve bilinen istismar dosyalarını avlar, geliştiricileri hızla ihlalleri tespit etmeleri ve düzeltmeleri için güçlendirir.
Geliştiricilerin maruz kalma riskini değerlendirmelerine yardımcı olmak için GitGuardian, HasySecretLeaked veritabanına söndürülmüş tüm kimlik bilgilerinin karma sürümlerini ekledi.
Kullanıcılar, gerçek değerleri açığa çıkarmadan yerel olarak sırlarını eşleştirebilir ve hizmeti sorgulayabilir. Toplu kontroller için Gitguardian şunları önerir:
bashpip install ggshield
ggshield hmsl check --type env <(env)
# For exfiltrated results:
cat results.b64 | base64 -d | base64 -d > results.txt
ggshield secret scan path --show-secrets --json results.txt | jq -rc '.entities_with_incidents[].incidents[].occurrences[].match' > secrets.txt
ggshield hmsl check secrets.txt
Otomatik rotasyon ve gerçek zamanlı tespit, saatler içinde sızdırılmış sırları silahlandıran tedarik zinciri tehditlerine karşı savunmak için negotezlenemez hale geldi.
Tedarik zinciri saldırıları daha sofistike büyüdükçe, gizli yönetimi ölçeklendirmek ve LLM’ye duyarlı savunmalar esnek yazılım teslimi için hayati öneme sahip olacaktır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.