Tedarik Zinciri Saldırısı tarafından vurulan Crowdstrike NPM paketleri

Yeni bir tedarik zinciri saldırısı, Crowdstrike-Publisher hesabı tarafından tutulan birden fazla NPM paketini tehlikeye attı ve sözde “Shai-Halud Saldırısı” nın endişe verici bir şekilde devam etmesini işaret etti.

Bu paketleri kullanan geliştiriciler ve kuruluşlar, kimlik bilgilerini korumak ve yetkisiz kod yürütülmesini önlemek için derhal harekete geçmelidir.

Shai-Halud saldırısı ilk olarak Tinycolor ve 40’tan fazla NPM kütüphanesine sızdığında dikkat çekti.

Her durumda, tehdit aktörleri, yüklendikten sonra gizli görevleri yürüten kötü amaçlı bir paket.js komut dosyası enjekte etti.

En son olay önceki uzlaşmaları yansıtır: kötü niyetli bir yük indirir ve sırları taramak için tasarlanmış meşru bir araç olan Trufflehog’u çalıştırır ve daha sonra jeton, API anahtarları ve bulut kimlik bilgileri için ana bilgisayar sistemi temizlemek için kullanır.

Geçerli geliştirici ve sürekli entegrasyon sırları topladıktan sonra, kötü amaçlı yazılım etkilenen depolarda yetkisiz GitHub eylemleri iş akışları oluşturur.

Son olarak, keşfedilen hassas verileri Hxxps: // WebHook adresinden sert kodlanmış bir Webhook uç noktasına soktu.[.]Site/BB8CA5F6-4175-45D2-B042-FC9EBB8170B7, hepsi SHA-256 HASH 46FAAB8AB153FAE6E80E7CCA38AB3635B524EDDD79E4235b524edd79e4235b524edd79e4235b524edd79e4235b524eddd79e4235b524333333.

Etkilenen paketler ve sürümler

NPM Kayıt Defteri, kötü niyetli etkinlik tespit edildikten sonra tehlikeye atılmış sürümleri hızla kaldırdı.

Onaylanan etkilenen paketler arasında çekirdek crowdstrike teklifleri ve birkaç ember ve yardımcı kamu kütüphanesi bulunmaktadır.

Dikkate değer örnekler @crowdstrike/taahhüt-8.1.1 ve 8.1.2, @crowdstrike/falcon-shoelace 0.4.2, @crowdstrike/foundry-js 0.19.2 ve @crowdstrike/glide-çekirdek 0.34.2 ve 0.34.3’tür.

Etkilenen diğer paketler arasında @crowdstrike/logscale-dashboard 1.205.2, @crowdstrike/logscale-file-editor 1.205.2 ve @crowdstrike/logscale-parser-edit sürümleri 1.205.1 ve 1.205.2 bulunur.

Ek kötü amaçlı kütüphaneler, kuyruk rüzgarı-toucan-baz 5.0.2’den tarayıcı-webdriver-downloader 3.0.8’e, çeşitli ember kamu hizmetleri, Eslint-config-crowdstrike modülleri, monorepo-kings 13.0.2, sayım-sunum-sunum-lint-crowdstrike 4.0.2, verror-extra 6.0.1, çift verror-out.

Bu paketlerin her biri aynı Bundle.js yükünü içeriyordu.

Meydan okulu NPM paketlerinden herhangi birini kullanan kuruluşlar, bunları hemen kaldırmalı veya yamalı sürümler doğrulanana kadar daha önce bilinen iyi bir versiyona sabitlemelidir.

Bir Crowdstrike sözcüsü GBHackers’a güvenlik üzerine şunları söyledi: “Kamu NPM kayıt defterinde birkaç kötü amaçlı düğüm paketi yöneticisi (NPM) paketini tespit ettikten sonra, üçüncü taraf açık kaynak depoları, kamu kayıtlarındaki anahtarlarımızı hızla kaldırdık ve proaktif olarak döndürdük. Bu paketler, falcon duydurmada kullanılmıyor, platformun korunmasının ve müşterilerin korunmasının, bir şekilde çalışmadığı, platformla çalışmadığımız, platformun çalışmadığı, platformda kullanılmaması, platformda kullanılmaması, platformda kullanılmamalıdır. soruşturma.”

Hepsini denetlemek çok önemlidir Yetkisiz NPM yayınları veya olağandışı GitHub Eylemleri İş Akışı Eklemeleri için ortamlar, geliştirici makineleri ve CI/CD aracıları.

Takımlar NPM kimlik doğrulama jetonlarını, bulut kimlik bilgilerini ve maruz kalmış olabilecek diğer sırları döndürmelidir. Olağandışı yayınlama etkinlikleri veya paket değişiklikleri için günlüklerin izlenmesi, daha fazla kötü niyetli etkinlik tespitine yardımcı olacaktır.

CrowdStrike ve NPM koruyucular, yayılma mekanizmalarının ve iyileştirme adımlarının ayrıntılı dökümlerini içerecek eksiksiz bir teknik analizde işbirliği yapıyorlar.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.