Cotització de descompte per a múltiples llicències
Seguretat informàtica CrowdStrike, Shai-Hulud i la imminent expiració de la...

CrowdStrike, Shai-Hulud i la imminent expiració de la CISA 2015: per què els EUA no poden dormir davant dels atacs a la cadena de subministrament de programari

El Sandos el Seguretat informàtica
Traduir a:

Cadenes fràgils compleixen lleis fràgils

Els titulars de seguretat del 2025 han estat dominats per bandes de ransomware, ciberamenaces impulsades per la IA i campanyes de pirateria geopolítiques. Però la tendència més silenciosa i insidiosa s'està produint a les cadenes de subministrament del món de codi obert, especialment a l'ecosistema npm JavaScript.

L'última onada d'atacs, agrupats sota el nom "Shai-Hulud" , ha compromès desenes de paquets npm, inclosos els publicats sota l' espai de noms CrowdStrike . Només aquest fet ja hauria de fer sonar les alarmes: quan els adversaris poden enverinar paquets associats amb un dels proveïdors de ciberseguretat més reconeixibles del món, la confiança en l'ecosistema de programari està en joc.

I això es desenvolupa en un context polític crític: la imminent expiració de la Llei de compartició d'informació sobre ciberseguretat de 2015 (CISA 2015) a finals de setembre. La CISA 2015 sustenta gran part de l'intercanvi voluntari i protegit per responsabilitat dels indicadors de compromís (IOC) entre el sector privat i les agències federals. Si caduca, els EUA intentaran afrontar els atacs d'estil Shai-Hulud amb una mà lligada a l'esquena.

La campanya Shai-Hulud: Anatomia d'un atac a la cadena de subministrament

1. Compromís inicial

Els atacants van infiltrar comptes npm vinculats a paquets legítims (alguns pertanyents a mantenidors individuals, altres sota espais de noms organitzatius). En modificar el package.json i incrustar un fitxer maliciós anomenat bundle.js , van trojanitzar projectes que en altres circumstàncies serien fiables.

2. Càrrega útil: l'implant de Bundle.js

L'implant no és un programari maliciós subtil de tipus "script kiddie". Executa una sèrie de tasques precises i automatitzades:

  • Recollida de tokens : Cerca secrets com ara NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID i AWS_SECRET_ACCESS_KEY a l'entorn amfitrió.
  • Implementació d'eines : Descarrega i executa TruffleHog , una utilitat de codi obert que normalment s'utilitza per escanejar repositoris a la recerca de secrets filtrats. Aquí es reutilitza de manera ofensiva per escombrar els sistemes locals.
  • Verificació : Valida els tokens recol·lectats mitjançant sol·licituds API lleugeres per confirmar quines credencials estan actives.
  • Persistència via CI/CD : crea o modifica directoris .github/workflows per inserir fluxos de treball d'accions de GitHub maliciosos , sovint anomenats shai-hulud.yaml o shai-hulud-workflow.yml . Aquests fluxos de treball poden tornar a exfiltrar secrets durant futures execucions de CI/CD.
  • Exfiltració : envia les credencials i els resultats robats a punts finals de webhook codificats, sovint controlats mitjançant una infraestructura d'un sol ús.

    • 3. Propagació

    Com que els paquets npm estan profundament interconnectats, fins i tot un sol compromís es pot propagar en cascada. Les versions malicioses es van carregar als registres npm i es van distribuir automàticament als desenvolupadors que van actualitzar o instal·lar dependències. Això significa que milers de projectes posteriors podrien haver extret inadvertidament codi enverinat.

    L' incident de tinycolor a principis de setembre il·lustra el risc. Aquesta biblioteca ( @ctrl/tinycolor ) es descarrega milions de vegades per setmana. Quan es va veure compromesa amb la càrrega útil de Shai-Hulud, més de 40 paquets posteriors van ser enverinats.

    4. Violació de l'espai de noms de CrowdStrike

    La descoberta més alarmant va ser que els paquets publicats sota l' espai de noms @crowdstrike npm també estaven compromesos. Socket.dev va identificar desenes de versions enverinades, algunes publicades en una ràfega ràpida entre el 14 i el 16 de setembre de 2025 .

    Tot i que no hi ha proves que s'hagi vulnerat la infraestructura interna de CrowdStrike, les implicacions sistèmiques i de reputació són greus:

    • Els desenvolupadors esperen que els espais de noms dels proveïdors com @crowdstrike siguin inamovibles.
    • Un espai de noms enverinat soscava la confiança no només en el proveïdor sinó també en el mateix npm.
    • Els adversaris van entendre clarament el poder simbòlic i pràctic d'aquest compromís.

    Indicadors tècnics i observables

    Per fonamentar això encara més, de l'anàlisi dels paquets Shai-Hulud van sorgir els següents indicadors tècnics:

    • Fitxers maliciosos : bundle.js , index.js (modificat per cridar bundle), fitxers de flux de treball inserits a .github/workflows/ .
    • Càrregues útils del flux de treball : normalment contenien passos per arrissar secrets i enviar POST als webhooks dels atacants.
    • Reutilització de hash : hashes SHA-256 idèntics de fitxers bundle.js en diversos paquets, confirmant la coordinació de la campanya.
    • Punts finals d'exfiltració : Webhooks allotjats en plataformes estàndard (per exemple, Discord, webhooks entrants de Slack o serveis al núvol temporals).
    • Patrons de publicació : Ràfegues de desenes de versions de paquets publicades en minuts, d'acord amb eines automatitzades en lloc de la publicació manual.

      • Aquests indicadors no són només curiositats forenses. Destaquen l'automatització i la disciplina de l'adversari: aquesta va ser una campanya dissenyada per a l'escala , no per a l'experimentació.

      Per què els atacs a la cadena de subministrament són tan perillosos

      Els atacs a la cadena de subministrament eviten el perímetre exterior. En lloc de trencar els tallafocs, s'infiltren dins de les actualitzacions de programari i biblioteques de confiança en què les organitzacions confien diàriament.

      • Escala d'abast : comprometre un únic paquet npm com tinycolor o un espai de noms organitzatiu com @crowdstrike pot exposar milers de sistemes posteriors.
      • Segrest de confiança : els desenvolupadors confien inherentment en els gestors de paquets; les actualitzacions enverinades s'instal·len automàticament.
      • Furt i persistència : En integrar fluxos de treball d'accions de GitHub maliciosos, l'atacant garanteix una exfiltració recurrent fins i tot després que s'hagi eliminat la versió maliciosa original.

      És per això que els atacs com Shai-Hulud són estratègicament significatius: converteixen els mateixos mecanismes del desenvolupament de programari modern (gestors de paquets, canals de CI/CD, dependències de codi obert) en superfícies d'atac.

      Per què l'expiració de la CISA 2015 augmenta les apostes

      El paper de CISA 2015

      La Llei de compartició d'informació de ciberseguretat de 2015 va establir marcs perquè les entitats privades comparteixin indicadors d'amenaces amb el DHS (i més tard amb la CISA) sense cap mena de responsabilitat. Els seus objectius:

      • Fomentar l'intercanvi ràpid de les COI entre sectors.
      • Proporcionar proteccions de responsabilitat per a les empreses que divulguin indicadors de bona fe.
      • Estandarditzar els formats tècnics (STIX/TAXII) per a l'intercanvi llegible per màquina.

      Riscos de caducitat

      Si la llei caduca a finals de setembre:

      1. Compartició reduïda : els responsables del manteniment, els registres i els proveïdors afectats per Shai-Hulud poden dubtar a compartir detalls per por de demandes o conseqüències normatives.
      2. Resposta fragmentada : sense coordinació federal, la intel·ligència sobre els atacs en curs romandrà aïllada entre proveïdors o investigadors individuals.
      3. Mitigació més lenta : el temps és crític en els atacs a la cadena de subministrament. Sense el marc de treball de CISA, el retard entre el descobriment i la defensa de la comunitat podria allargar-se perillosament.
      4. Erosió de la confiança : Ja afectada pel compromís de l'espai de noms de CrowdStrike, la comunitat de codi obert pot tornar-se encara més reticent a confiar en els registres centrals sense una resposta federal i privada forta i coordinada.

      Recomanacions polítiques i de la indústria

      1. Acció legislativa immediata

      El Congrés hauria de renovar o prorrogar la CISA 2015 abans que acabi setembre. Si no ho fes, els seus adversaris serien conscients que els EUA s'estan paralitzant davant l'augment del risc cibernètic.

      2. Enduriment del registre

      npm, PyPI, RubyGems i altres registres necessiten salvaguardes més fortes:

      • Autenticació multifactor obligatòria per a editors.
      • Detecció automatitzada d'anomalies per a ràfegues de publicació inusuals.
      • Signatura de codi per a paquets publicats.
      • Comprovació de la procedència dels paquets integrada en sistemes de CI/CD.

      3. Protecció de l'espai de noms del proveïdor

      Els proveïdors com CrowdStrike haurien de tenir en compte:

      • Miralls privats de paquets públics per protegir les empreses de versions manipulades.
      • Monitorització contínua del segrest d'espai de noms.
      • Resums "coneguts com a vàlids" divulgats públicament per a cada llançament.

      4. Auditories del sector privat

      Les organitzacions haurien de:

      • Fixa les dependències a versions fixes.
      • Audita els fluxos de treball de CI/CD per detectar modificacions no autoritzades.
      • Rota les credencials (tokens npm, tokens de GitHub, claus al núvol) immediatament si estan exposades.

      5. Col·laboració federal-privada

      Fins i tot si la CISA caduca temporalment, les estructures ad-hoc han d'omplir el buit:

      • Assessorament conjunt entre CISA, Socket.dev, GitHub i npm.
      • Canals en temps real de hashes i punts finals maliciosos.
      • Suport financer i tècnic per als mantenidors de codi obert (sovint voluntaris no remunerats).

      Conclusió: una col·lisió de debilitats

      La campanya Shai-Hulud demostra que els atacs a la cadena de subministrament ja no són "casos límit", sinó que s'estan convertint en una tàctica adversaria estàndard. El compromís dels paquets sota l' espai de noms CrowdStrike subratlla la fragilitat de la confiança en l'ecosistema.

      I just quan aquesta amenaça augmenta, els EUA podrien permetre que caduqui la CISA 2015 , desmantellant la bastida legal que permet l'intercanvi d'informació i una resposta ràpida.

      La lliçó és clara: sense una renovació legislativa i una reforma de la indústria, els EUA corren el risc d'entrar a l'era més perillosa de compromís de la cadena de subministrament de programari fins ara, una era en què els adversaris exploten tant les vulnerabilitats tècniques com els buits polítics.

      En resum: codi fràgil + llei fràgil = risc nacional.

      Carregant...