Rabattilbud med flere licenser
Computersikkerhed CrowdStrike, Shai-Hulud og den forestående udløb af CISA...

CrowdStrike, Shai-Hulud og den forestående udløb af CISA 2015: Hvorfor USA ikke kan lade være med at tænke over angreb på softwareforsyningskæden

Med Sandos i Computersikkerhed
Oversæt til:

Skrøbelige kæder møder skrøbelige love

Sikkerhedsoverskrifterne i 2025 har været domineret af ransomware-bander, AI-drevne cybertrusler og geopolitiske hackingkampagner. Men den mere stille og lumske tendens finder sted i forsyningskæderne i open source-verdenen – især i npm JavaScript-økosystemet.

Den seneste bølge af angreb, grupperet under navnet "Shai-Hulud" , har kompromitteret snesevis af npm-pakker, inklusive dem, der er udgivet under navneområdet CrowdStrike . Alene den kendsgerning burde vække alarm: Når modstandere kan forgifte pakker forbundet med en af verdens mest genkendelige cybersikkerhedsleverandører, er tilliden til softwareøkosystemet på spil.

Og dette udfolder sig på en kritisk politisk baggrund: den forestående udløb af Cybersecurity Information Sharing Act of 2015 (CISA 2015) i slutningen af september. CISA 2015 understøtter en stor del af den frivillige, ansvarsbeskyttede deling af indikatorer for kompromis (IOC'er) mellem den private sektor og føderale myndigheder. Hvis den udløber, vil USA forsøge at konfrontere Shai-Hulud-lignende angreb med én hånd bundet på ryggen.

Shai-Hulud-kampagnen: Anatomien af et angreb i forsyningskæden

1. Indledende kompromis

Angriberne infiltrerede npm-konti knyttet til legitime pakker (nogle tilhørende individuelle vedligeholdere, andre under organisatoriske navnerum). Ved at ændre package.json og indlejre en ondsindet fil med navnet bundle.js , trojanerede de ellers troværdige projekter.

2. Nyttelast: Bundle.js-implantatet

Implantatet er ikke en diskret "script kiddie"-malware. Det udfører en række præcise, automatiserede opgaver:

  • Token-høstning : Søger i værtsmiljøet efter hemmeligheder som NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID og AWS_SECRET_ACCESS_KEY .
  • Værktøjsimplementering : Downloader og kører TruffleHog , et open source-værktøj, der normalt bruges til at scanne lagre for lækkede hemmeligheder. Her genbruges det offensivt til at scanne lokale systemer.
  • Verifikation : Validerer høstede tokens ved at udføre lette API-anmodninger for at bekræfte, hvilke legitimationsoplysninger der er aktive.
  • Persistens via CI/CD : Opretter eller ændrer .github/workflows -mapper for at indsætte ondsindede GitHub Actions-arbejdsgange — ofte kaldet shai-hulud.yaml eller shai-hulud-workflow.yml . Disse arbejdsgange kan genudvinde hemmeligheder under fremtidige CI/CD-kørsler.
  • Eksfiltrering : Sender de stjålne legitimationsoplysninger og resultater til hardcodede webhook-slutpunkter, ofte styret via engangsinfrastruktur.

    • 3. Formering

    Fordi npm-pakker er dybt forbundet, kan selv et enkelt kompromitteret program kaskadere. De skadelige versioner blev uploadet til npm-registre og distribueret automatisk til udviklere, der opdaterede eller installerede afhængigheder. Det betyder, at tusindvis af downstream-projekter utilsigtet kan have trukket forgiftet kode.

    tinycolor-hændelsen tidligere i september illustrerer risikoen. Biblioteket ( @ctrl/tinycolor ) downloades millioner af gange om ugen. Da det blev kompromitteret med Shai-Hulud-nyttelasten, blev mere end 40 downstream-pakker forgiftet.

    4. CrowdStrike-navneområdebrud

    Den mest alarmerende opdagelse var, at pakker udgivet under navneområdet @crowdstrike npm også var kompromitteret. Socket.dev identificerede snesevis af forgiftede versioner, hvoraf nogle blev udgivet i et hurtigt udbrud mellem 14. og 16. september 2025 .

    Selvom der ikke er bevis for, at CrowdStrikes egen interne infrastruktur blev brudt, er de omdømmemæssige og systemiske konsekvenser alvorlige:

    • Udviklere forventer, at leverandørnavneområder som @crowdstrike er jernbelagte.
    • Et forgiftet navnerum underminerer tilliden ikke kun til leverandøren, men også til selve npm.
    • Modstanderne forstod tydeligt den symbolske og praktiske kraft i et sådant kompromis.

    Tekniske indikatorer og observerbare

    For at begrunde dette yderligere, fremkom følgende tekniske markører fra analysen af Shai-Hulud-pakkerne:

    • Ondsindede filer : bundle.js , index.js (ændret til at kalde bundle), indsatte workflow-filer i .github/workflows/ .
    • Workflow-nyttelast : Indeholdt typisk trin til at curle hemmeligheder og POST til angriberens webhooks.
    • Genbrug af hash : Identiske SHA-256-hashes af bundle.js -filer på tværs af flere pakker, hvilket bekræfter kampagnekoordinering.
    • Eksfiltreringsslutpunkter : Webhooks, der hostes på standardplatforme (f.eks. Discord, Slack indkommende webhooks eller midlertidige cloudtjenester).
    • Udgivelsesmønstre : Udbrud af snesevis af pakkeversioner udgivet på få minutter, i overensstemmelse med automatiserede værktøjer snarere end manuel udgivelse.

      • Disse indikatorer er ikke blot retsmedicinske trivialiteter. De fremhæver modstanderens automatisering og disciplin – dette var en kampagne designet til stordriftsformål , ikke eksperimentering.

      Hvorfor forsyningskædeangreb er så farlige

      Angreb i forsyningskæden omgår den ydre perimeter. I stedet for at bryde igennem firewalls, får de en tur indenfor de pålidelige softwareopdateringer og biblioteker, som organisationer er afhængige af dagligt.

      • Rækkevidde : At kompromittere en enkelt npm-pakke som tinycolor eller et organisatorisk navnerum som @crowdstrike eksponerer potentielt tusindvis af downstream-systemer.
      • Tillidskapring : Udviklere har i sagens natur tillid til pakkeadministratorer; forgiftede opdateringer installeres automatisk.
      • Stealth og vedholdenhed : Ved at integrere ondsindede GitHub Actions-arbejdsgange sikrer angriberen tilbagevendende eksfiltrering, selv efter at den oprindelige ondsindede version er fjernet.

      Derfor er angreb som Shai-Hulud strategisk betydningsfulde: de forvandler selve mekanismerne i moderne softwareudvikling – pakkehåndtering, CI/CD-pipelines, open source-afhængigheder – til angrebsflader.

      Hvorfor udløbet af CISA 2015 øger indsatsen

      CISA's rolle 2015

      Lov om deling af cybersikkerhedsoplysninger fra 2015 etablerede rammer for private enheders deling af trusselsindikatorer med DHS (og senere CISA) uden ansvar. Dens mål:

      • Fremme hurtig deling af IOC'er på tværs af sektorer.
      • Yde ansvarsbeskyttelse for virksomheder, der offentliggør indikatorer i god tro.
      • Standardisér tekniske formater (STIX/TAXII) til maskinlæsbar udveksling.

      Risici ved udløb

      Hvis loven udløber ved udgangen af september:

      1. Reduceret deling : Vedligeholdere, registre og leverandører, der er ramt af Shai-Hulud, kan tøve med at dele oplysninger af frygt for retssager eller regulatorisk tilbageslag.
      2. Fragmenteret respons : Uden føderal koordinering vil efterretninger om igangværende angreb forblive isoleret på tværs af individuelle leverandører eller forskere.
      3. Langsommere afbødning : Tid er afgørende i forbindelse med angreb i forsyningskæden. Uden CISA's rammeværk kan tidsforskellen mellem opdagelse og forsvar i lokalsamfundet blive farligt lang.
      4. Erosion af tillid : Allerede rystet af CrowdStrike-navneområdekompromitteret, kan open source-fællesskabet blive endnu mere tilbageholdende med at stole på centrale registre i mangel af en stærk, koordineret føderal-privat reaktion.

      Politik- og brancheanbefalinger

      1. Øjeblikkelig lovgivningsmæssig handling

      Kongressen bør forny eller forlænge CISA 2015 inden udgangen af september. Hvis dette ikke sker, vil det signalere til modstandere, at USA hæmmer sig selv i lyset af den eskalerende cyberrisiko.

      2. Hærdning af registreringsdatabasen

      npm, PyPI, RubyGems og andre registre har brug for stærkere sikkerhedsforanstaltninger:

      • Obligatorisk multifaktorgodkendelse for udgivere.
      • Automatiseret anomalidetektion for usædvanlige udgivelsesudbrud.
      • Kodesignering for publicerede pakker.
      • Pakkeoprindelseskontrol integreret i CI/CD-systemer.

      3. Beskyttelse af leverandørnavneområde

      Leverandører som CrowdStrike bør overveje:

      • Private spejle af offentlige pakker for at beskytte virksomheder mod manipulerede versioner.
      • Løbende overvågning for navneområdekapring.
      • Offentliggjorte "kendte, gode" hashes for hver udgivelse.

      4. Revisioner af den private sektor

      Organisationer bør:

      • Fastgør afhængigheder til faste versioner.
      • Revider CI/CD-arbejdsgange for uautoriserede ændringer.
      • Roter legitimationsoplysninger (npm-tokens, GitHub-tokens, cloud-nøgler) med det samme, hvis de eksponeres.

      5. Føderalt-privat samarbejde

      Selv hvis CISA udløber midlertidigt, skal ad hoc-strukturer udfylde tomrummet:

      • Fælles meddelelser mellem CISA, Socket.dev, GitHub og npm.
      • Realtidsfeeds af ondsindede hashes og endpoints.
      • Finansiel og teknisk support til open source-vedligeholdere (ofte ulønnede frivillige).

      Konklusion: En kollision af svagheder

      Shai-Hulud-kampagnen beviser, at angreb i forsyningskæden ikke længere er "edge cases" - de er ved at blive en standard taktik for modstandere. Kompromisset af pakker under CrowdStrike-navneområdet understreger, hvor skrøbelig tilliden til økosystemet er blevet.

      Og netop i takt med at denne trussel eskalerer, kan USA tillade CISA 2015 at udløbe – og dermed afvikle det juridiske stillads, der muliggør informationsdeling og hurtig reaktion.

      Lærdommen er tydelig: uden lovgivningsmæssig fornyelse og branchereform risikerer USA at gå ind i den hidtil farligste æra med kompromiser i softwareforsyningskæden – en æra hvor modstandere udnytter både tekniske sårbarheder og politiske vakuum.

      Kort sagt: skrøbelig kodeks + skrøbelig lov = national risiko.

      Indlæser...