20’den fazla Crowdstrike NPM paketi, sofistike bir tedarik zinciri saldırısının vurduğu yaklaşık 200 NPM paket arasındaydı.
Uzaklaştırılmış paketler hızla kaldırıldı ve Crowdstrike, Falcon güvenlik platformunun etkilenmediğini söyledi, ancak büyük bir NPM tedarik zinciri saldırısının haftada 2 milyardan fazla indirme ile popüler paketlere çarpmasından sadece birkaç gün sonra, en son olayın bir tarayıcının dışında JavaScript çalıştırmak için kullanılan paketlere yenilenmiş incelemeler getirmesi muhtemel.
En son NPM saldırısı, güvenlik araştırmacıları arasında yeni bir endişe yaratarak kendi kendini tanıtan bir solucan kullandı.
“Bu saldırı, tedarik zinciri tehditlerinde ilgili bir evrim gösteriyor-kötü amaçlı yazılım, aşağı akış paketlerini otomatik olarak enfekte eden ve ekosistem genelinde basamaklı bir uzlaşma yaratan bir kendini tanıtma mekanizması içeriyor.
NPM Saldırısı, kendi kendini gösteren solucanı kullanır
Daniel Pereira, Aikido’nun Charlie Eriksen’in Ağustos ayı sonlarında bir NX NPM saldırısının arkasındaki aynı tehdit aktörlerinin çalışması gibi göründüğü en son NPM tehdidini tanımlayan ilk görünüşte görünüyordu.
Socket’ten Kush Pandya ve diğer araştırmacılara göre, Dune’deki Sandworms için adlandırılan bir iş akışı dosyası nedeniyle “Shai-Halud” olarak adlandırılan saldırı, Tinycolor ve diğer popüler paketleri de vurdu.
Soket ve diğer araştırmacılara göre kötü amaçlı yazılım birkaç işlevi yerine getirir:
- Trufflehog Secret Scanner’ı indirir ve çalıştırır
- Jetonlar ve bulut kimlik bilgileri için ana bilgisayar sistemlerini arar
- Geliştirici ve CI kimlik bilgilerini doğrular
- Depolar içindeki yetkisiz GitHub eylemleri iş akışları yaratır
- Hassas verileri bir webhook’a püskürtmek[.]Site URL’si
- Saldırıyı yayar ve güçlendirir
NPM Saldırısı tarafından vurulanlar arasında Crowdstrike
Crowdstrike-Publisher NPM hesabı tarafından yayınlanan çoklu Crowdstrike NPM paketleri tehlikeye atıldı.
Cyber Express ile temasa geçen bir Crowdstrike sözcüsü şu ifadeyi paylaştı:
“Üçüncü taraf açık kaynak deposu olan genel NPM kayıt defterinde birkaç kötü amaçlı düğüm paketi yöneticisi (NPM) paketini tespit ettikten sonra, bunları hızla kaldırdık ve kamu kayıtlarındaki anahtarlarımızı proaktif olarak döndürdük. Bu paketler şahin sensöründe kullanılmıyor, platform etkilenmiyor ve müşteriler korunuyor.
İlk uzlaşmanın herhangi bir olayda nasıl meydana geldiği açık değil, ancak LinkedIn’deki bir yorumcu, “Saldırganların ilk erişimi nasıl aldığından emin değiliz bir kimlik avı kampanyasından görünmüyor” dedi.
Cyble: Tedarik zinciri saldırılarında ‘önemli bir yükselme’
Müşterilere bir not olarak Cyble, GitHub’daki ani görünümün yüzlerce “Shai-Halud göçü” depolarının “daha geniş operasyonu destekleyen koordineli otomasyon altyapısı önerdiğini” söyledi.
Cyble, saldırının “tedarik zinciri saldırısı sofistike ve hedefleme hassasiyetinde önemli bir artış olduğunu söyledi. Tehdit aktörleri, otomatik kalıcılık mekanizmaları uygularken birden fazla pakette tutarlı kötü amaçlı yazılım dağıtımını sürdürerek ileri operasyonel güvenliği gösterdi. Kampanyanın kimlik bilgisi hasat ve Github eylemlerine odaklanması, iş akışının sağlanması ve ilerlemiş durumun öngörülmesi, potansiyel veya ileri sürücü, potansiyel veya ileri sürücü, potansiyel veya ileri düzeyde, potansiyel durumun korunmasını gösteriyor. daha geniş bir etkiyi önledi, ancak olay paket dağıtım güven modellerindeki temel güvenlik açıklarını vurgulamaktadır. ”
Cyble’ın müşteriler için uzun bir öneri listesi vardı:
- Meydan okulu paketlerin kurulumlarını belirlemek ve hemen doğrulanmış temiz sürümlere gidermek veya indirmek için tüm geliştirme ve üretim ortamlarının kapsamlı denetimlerini yapmak.
- Gelecekteki paket güncellemelerinde benzer tedarik zinciri uzlaşmalarını tespit etmek için otomatik bağımlılık taramasının uygulanması.
- Tüm NPM jetonlarını, API anahtarlarını, bulut kimlik bilgilerini ve tehlikeye atılan paketlerin kurulduğu sistemlere maruz bırakılmış olabilecek diğer kimlik doğrulama materyallerini döndürür.
- Kimlik bilgisi atlama çözümlerinin uygulanması ve geliştirme ortamlarında düz metin kimlik bilgisi depolamasının ve tüm paket yönetimi hesaplarında çok faktörlü kimlik doğrulamasının ortadan kaldırılması.
- Yetkisiz iş akışı dosyaları, özellikle de “Shai-Halud” veya benzeri adlandırma modellerine referans içeren tüm GitHub depolarını gözden geçirme.
- Beklenmedik değişiklikler veya yeni iş akışı eklemeleri için CI/CD boru hattı yapılandırmalarının denetlenmesi ve iş akışı onay gereksinimlerinin ve depo erişim izlemesinin uygulanması.
- İmza validasyonu ve karma kontrolü, dağıtımdan önce ve yazılım materyalleri (SBOM) üretimi ve tüm bağımlılıklar için izleme gibi paket bütünlük doğrulama süreçlerinin oluşturulması.
- Yetkisiz paket kurulumlarını, olağandışı Github Eylem etkinliklerini ve kimlik bilgisi erişim modellerini tespit etmek için izleme çözümlerinin dağıtılması.
- Geliştirme ortamları için temel davranış profillerinin oluşturulması ve tedarik zinciriyle ilgili faaliyetler için anomali tespitinin uygulanması.
- NPM ekosistem uzlaşmalarına ve benzer saldırı vektörlerine ve özellikle tedarik zinciri uzlaşma senaryolarına odaklanan tehdit zekası beslemeleri oluşturmak.
Bazıları zorunlu kod imzalama gibi daha iyi kod güvenlik önlemleri çağrısında bulundu. Örneğin NX, son saldırısından sonra diğer gelişmiş güvenlik önlemlerinin yanı sıra tüm sürümler için NPM güvenilir yayıncılar ve manuel onay süreci uyguladı.