Sofistike ve yaygın bir tedarik zinciri saldırısı, NPM ekosistemine çarptı ve popüler olanı tehlikeye attı. @ctrl/tinycolor Haftada 2 milyondan fazla indirilen paket.
Saldırı ayrıca çeşitli bakımcılardan 40’tan fazla diğer paketi etkiledi ve geliştirici kimlik bilgilerini çalmak ve yazılım manzarasına yaymak için tasarlanmış tehlikeli bir kendini tanıtan kötü amaçlı yazılım sundu.
Kullanıcılar GitHub’da şüpheli etkinlik keşfettikten ve açık kaynaklı topluluğu derhal uyardıktan sonra olay ortaya çıktı.
Kötü niyetli sürümler, 4.1.1 Ve 4.1.2 ile ilgili @ctrl/tinycolorNPM kayıt defterinden hızla kaldırıldı, ancak dağıtılmadan önce değil.
Step Security’den güvenlik analistleri daha sonra, şiddetini ve benzersiz yayılma yöntemini doğrulayarak saldırının ayrıntılı bir teknik dökümünü sağladı.
Kendi kendine yayılan kötü amaçlı yazılım NPM paketlerini enfekte eder
Bu saldırıyı ayıran şey otomatik, solucan benzeri davranışıdır. Kötü amaçlı yazılım, diğer yazılım paketlerini aktif olarak arayan ve enfekte eden bir “kendi kendini tanıtım motoru” içerir.
Bir geliştiricinin makinesi tehlikeye atıldıktan sonra, kötü amaçlı yazılım kullanır. NpmModule.updatePackage kötü amaçlı kodunu aynı yazar tarafından tutulan diğer projelere enjekte etmek.
Bu, saldırganların daha fazla manuel müdahalesi olmadan birbirine bağlı yazılım bağımlılıkları ağından hızla yayılmasına izin veren basamaklı bir etki yaratır.
Kötü amaçlı yazılımın birincil amacı agresif kimlik bilgisi hasattır. Saldırganlar, tehlikeye atılan sistemlerle ilgili hassas bilgileri avlamak için meşru bir gizli tarama aracı Trufflehog’u yeniden kullandı. Özellikle aşağıdakileri içeren çok çeşitli değerli geliştirici sırlarını hedefler:
- NPM kimlik doğrulama jetonları
- Github kişisel erişim belirteçleri
- Amazon Web Hizmetleri (AWS) Erişim Anahtarları
- Google Bulut Platformu (GCP) Hizmet Kimlik Bilgileri
- Microsoft Azure Kimlik Bilgileri
Kalıcılığını sağlamak için, kötü amaçlı yazılım, adlandırılan bir kötü amaçlı GitHub Eylemler iş akışı dosyası oluşturur .github/workflows/shai-hulud-workflow.yml.
Bu dosya, saldırganların tehlikeye atılan depolara erişimi sürdürmesini, potansiyel olarak yeniden entefekte etmesini veya zaman içinde daha fazla veri eklemesini sağlar. Tüm çalınan veriler, halka açık bir uç noktaya huni edildi. webhook.site hizmet.
Hafifletme
Bu kritik tehdide yanıt olarak, güvenlik uzmanları geliştiricileri ve kuruluşları derhal harekete geçirmeye çağırıyor.
İlk adım, tehlikeye atılan paketlerin varlığı ve kötü niyetli sürümleri için tüm projeleri kontrol etmektir. Bulunursa, derhal güvenli bir versiyona kaldırılmalı veya düşürülmelidir.
Kötü amaçlı yazılımların kapsamlı kimlik bilgisi çalma özellikleri göz önüne alındığında, potansiyel olarak maruz kalan tüm sırları döndürmek çok önemlidir. Bu, NPM jetonları, GitHub erişim belirteçleri ve geliştirme veya CI/CD sistemlerinde mevcut olabilecek tüm bulut sağlayıcı kimlik bilgilerini (AWS, Azure, GCP) içerir.
Son olarak, altyapının kapsamlı bir denetimi önerilir. Geliştiriciler depolarını kötü niyetli olarak taramalıdır shai-hulud-workflow.yml dosya, yetkisiz paket sürümleri için son NPM yayınlama etkinliğini inceleyin ve bilinen eksfiltrasyon uç noktasına bağlantılar için giden ağ trafiğini izleyin.
Sağlanan bilgilere dayanarak, tehlikeye atılan paketlerin ve etkilenen sürümlerin bir listesi.
| Etkilenen Paket | Kötü niyetli sürümler |
|---|---|
| @ctrl/tinycolor | 4.1.1– 4.1.2 |
| @ctrl/tufan | 7.2.2 |
| Angulartics2 | 14.1.2 |
| @Ctrl/Golang-Template | 1.4.3 |
| @Ctrl/Magnet-Link | 4.0.4 |
| @ctrl/ngx-codemirur | 7.0.2 |
| @ctrl/ngx-csv | 6.0.2 |
| @ctrl/ngx-emoji-Mart | 9.2.2 |
| @ctrl/ngx-rightclick | 4.0.2 |
| @ctrl/qbittorrent | 9.7.2 |
| @Ctrl/React-Adsense | 2.0.2 |
| @Ctrl/Shared-Torrent | 6.3.2 |
| @ctrl/torrent dosyası | 4.1.2 |
| @ctrl/şanzıman | 7.3.1 |
| @Ctrl/TS-Base32 | 4.0.2 |
| karşılaşma oyun alanı | 0.0.5 |
| JSON-RULES-ENCINE SİPLİKLİ | 0.2.4 |
| @nativecript-community/gesturehandler | 2.0.35 |
| @native-community/nöbetçi | 4.6.43 |
| @native-community/text | 1.6.13 |
| @nativecript-community/ui-collectionView | 6.0.6 |
| @nativecript-community/ui-drawer | 0.1.30 |
| @native-community/ui-image | 4.5.6 |
| @Nativecript-community/ui-materyaler-bottomsheet | 7.2.72 |
| @Native-community/ui-materyaler çekirdeği | 7.2.76 |
| @Nativecript-topluluğu/ui-materyal-çekirdek-ays | 7.2.76 |
| ngx renk | 10.0.2 |
| Ngx-toastr | 1.9.0.2 |
| NGX trend | 8.0.1 |
| tepki şikayet görüntüsü | 0.0.35 |
| React-Jsonschema-Form-Conditions | 0.3.21 |
| React-Jsonschema-Form-Extras | 1.0.4 |
| RXNT-OTUTTICTICTION | 0.0.6 |
| rxnt-healthchecks-nestjs | 1.0.5 |
| Rxnt-kue | 1.0.7 |
| SWC-Plugin-Component-Bilgilendirme | 1.9.2 |
| Ts-Gaussalı | 3.0.6 |
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free