Kelių licencijų nuolaidos pasiūlymas
Kompiuterių apsauga „CrowdStrike“, „Shai-Hulud“ ir artėjanti CISA 2015...

„CrowdStrike“, „Shai-Hulud“ ir artėjanti CISA 2015 galiojimo pabaiga: kodėl JAV negali miegoti dėl programinės įrangos tiekimo grandinės atakų

Autorius Sandos, Kompiuterių apsauga
Versti į:

Trapios grandinės atitinka trapius įstatymus

2025 m. saugumo antraštėse dominavo išpirkos reikalaujančių programų gaujos, dirbtinio intelekto valdomos kibernetinės grėsmės ir geopolitinės įsilaužimo kampanijos. Tačiau tylesnė ir klastingesnė tendencija vyksta atvirojo kodo pasaulio tiekimo grandinėse, ypač npm JavaScript ekosistemoje.

Naujausia atakų banga, sugrupuota pavadinimu „Shai-Hulud“ , pažeidė dešimtis npm paketų, įskaitant tuos, kurie buvo paskelbti „ CrowdStrike“ vardų erdvėje . Vien šis faktas turėtų kelti nerimą: kai priešininkai gali užteršti paketus, susijusius su vienu iš labiausiai atpažįstamų pasaulyje kibernetinio saugumo tiekėjų, kyla pavojus pasitikėjimui programinės įrangos ekosistema.

Ir visa tai vyksta esant svarbiam politiniam fonui: rugsėjo pabaigoje baigsis galioti 2015 m. Kibernetinio saugumo informacijos mainų įstatymas (CISA 2015) . CISA 2015 yra daugelio savanoriškų, atsakomybės saugomų kompromiso rodiklių (IOC) mainų tarp privačiojo sektoriaus ir federalinių agentūrų pagrindas. Jei jis nustos galioti, JAV bandys atremti Shai-Hulud stiliaus išpuolius, viena ranka surišta už nugaros.

Shai-Hulud kampanija: tiekimo grandinės atakos anatomija

1. Pradinis kompromisas

Užpuolikai infiltravosi į „npm“ paskyras, susietas su teisėtais paketais (kai kurie priklauso individualiems prižiūrėtojams, kiti – organizacijų vardų erdvėse). Modifikuodami package.json failą ir įterpdami kenkėjišką failą pavadinimu bundle.js , jie užgrobė trojanu kitaip patikimus projektus.

2. Naudingoji apkrova: „Bundle.js“ implantas

Implantas nėra subtili „script kiddie“ kenkėjiška programa. Jis vykdo tikslių, automatizuotų užduočių seriją:

  • Žetonų rinkimas : ieško pagrindinėse aplinkose tokių slaptų raktų kaip NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID ir AWS_SECRET_ACCESS_KEY .
  • Įrankio diegimas : Atsisiunčia ir paleidžia „TruffleHog“ – atvirojo kodo programą, paprastai naudojamą saugykloms nuskaityti ieškant nutekėjusių paslapčių. Čia ji pakartotinai naudojama vietinėms sistemoms tikrinti.
  • Patvirtinimas : patvirtina surinktus žetonus atlikdamas lengvas API užklausas, kad patvirtintų, kurie prisijungimo duomenys yra aktyvūs.
  • Išlikimas per CI/CD : sukuria arba modifikuoja .github/workflows katalogus, kad įterptų kenkėjiškas „GitHub Actions“ darbo eigas , dažnai vadinamas shai-hulud.yaml arba shai-hulud-workflow.yml . Šios darbo eigos gali iš naujo išgauti paslaptis būsimų CI/CD paleidimų metu.
  • Išfiltracija : pavogti prisijungimo duomenys ir rezultatai siunčiami į užprogramuotus žiniatinklio kabliuko galinius taškus, dažnai valdomus per vienkartinę infrastruktūrą.

    • 3. Dauginimas

    Kadangi „npm“ paketai yra glaudžiai susiję, net ir vienas pažeidimas gali būti kaskadinis. Kenkėjiškos versijos buvo įkeltos į „npm“ registrus ir automatiškai platinamos kūrėjams, kurie atnaujino arba įdiegė priklausomybes. Tai reiškia, kad tūkstančiai tolesnių projektų galėjo netyčia išgauti užkrėstą kodą.

    „tinycolor“ incidentas rugsėjo pradžioje iliustruoja riziką. Ta biblioteka ( @ctrl/tinycolor ) atsisiunčiama milijonus kartų per savaitę. Kai ją užkrėtė „Shai-Hulud“ paketas, buvo užkrėsta daugiau nei 40 atsisiunčiamų paketų.

    4. „CrowdStrike“ vardų srities pažeidimas

    Labiausiai nerimą keliantis atradimas buvo tas, kad paketai, paskelbti naudojant @crowdstrike npm“ vardų erdvę, taip pat buvo pažeisti. „Socket.dev“ aptiko dešimtis užkrėstų versijų, kai kurios iš jų buvo išleistos labai greitai tarp 2025 m. rugsėjo 14–16 d .

    Nors nėra įrodymų, kad buvo pažeista „CrowdStrike“ vidinė infrastruktūra, pasekmės reputacijai ir sisteminės pasekmės yra rimtos:

    • Kūrėjai tikisi, kad tokios tiekėjų vardų erdvės kaip @crowdstrike bus tvirtos.
    • Užnuodyta vardų erdvė kenkia pasitikėjimui ne tik tiekėju, bet ir pačia npm.
    • Priešininkai aiškiai suprato tokio kompromiso simbolinę ir praktinę galią.

    Techniniai rodikliai ir stebimi rodikliai

    Siekiant tai dar labiau pagrįsti, išanalizavus „Shai-Hulud“ paketus, išryškėjo šie techniniai žymenys:

    • Kenkėjiški failai : bundle.js , index.js (modifikuoti, kad iškviestų „bundle“), įterpti darbo eigos failai į .github/workflows/ .
    • Darbo eigos naudingoji apkrova : Paprastai apėmė veiksmus, skirtus slaptiems duomenims sukonstruoti ir POST siųsti užpuoliko žiniatinklio kabliukams.
    • Maišos pakartotinis naudojimas : identiškos bundle.js failų SHA-256 maišos keliose pakuotėse, patvirtinančios kampanijos koordinavimą.
    • Eksfiltracijos galiniai taškai : žiniatinklio kabliukai, talpinami plataus vartojimo platformose (pvz., „Discord“, „Slack“ gaunamų duomenų žiniatinklio kabliukai arba laikinos debesijos paslaugos).
    • Publikavimo modeliai : per kelias minutes publikuojama daugybė paketų versijų, naudojant automatinius įrankius, o ne rankiniu būdu.

      • Šie rodikliai nėra vien teismo ekspertizės smulkmenos. Jie pabrėžia priešininko automatizavimą ir drausmę – ši kampanija buvo sukurta mastui , o ne eksperimentams.

      Kodėl tiekimo grandinės atakos yra tokios pavojingos

      Tiekimo grandinės atakos apeina išorinį perimetrą. Užuot prasiskverbusios pro ugniasienes, jos įsiskverbia į patikimus programinės įrangos atnaujinimus ir bibliotekas, kuriomis organizacijos naudojasi kasdien.

      • Pasiekiamumo mastas : Vieno „npm“ paketo, pvz., tinycolor , arba organizacijos vardų erdvės, pvz., @crowdstrike , kompromitavimas gali atskleisti tūkstančius tolesnių sistemų.
      • Pasitikėjimo užgrobimas : kūrėjai iš prigimties pasitiki paketų tvarkyklėmis; užkrėsti atnaujinimai įdiegiami automatiškai.
      • Slaptumas ir atkaklumas : įterpdamas kenkėjiškas „GitHub Actions“ darbo eigas, užpuolikas užtikrina pasikartojančią eksfiltraciją net ir pašalinus originalią kenkėjišką versiją.

      Štai kodėl tokios atakos kaip „Shai-Hulud“ yra strategiškai svarbios: jos paverčia pačius šiuolaikinės programinės įrangos kūrimo mechanizmus – paketų tvarkykles, CI/CD kanalus, atvirojo kodo priklausomybes – atakų paviršiais.

      Kodėl CISA galiojimo pabaiga 2015 m. kelia statymus

      CISA 2015 vaidmuo

      2015 m. priimtas Kibernetinio saugumo informacijos mainų įstatymas nustatė sistemas, pagal kurias privatūs subjektai gali be jokios atsakomybės dalytis grėsmės rodikliais su DHS (o vėliau ir CISA). Jo tikslai:

      • Skatinti greitą IOC pasidalijimą tarp sektorių.
      • Užtikrinti atsakomybės apsaugą įmonėms, kurios sąžiningai atskleidžia rodiklius.
      • Standartizuoti techninius formatus (STIX/TAXII), kad būtų galima keistis mašininiu būdu.

      Galiojimo pabaigos rizika

      Jei įstatymas nustos galioti rugsėjo pabaigoje:

      1. Sumažintas dalijimasis : „Shai-Hulud“ paveikti prižiūrėtojai, registrų tvarkytojai ir tiekėjai gali dvejoti dalytis informacija, bijodami ieškinių ar reguliavimo institucijų poveikio.
      2. Fragmentinis atsakas : be federalinio koordinavimo žvalgyba apie vykstančias atakas liks izoliuota tarp atskirų tiekėjų ar tyrėjų.
      3. Lėtesnis sušvelninimas : laikas yra labai svarbus tiekimo grandinės atakų atveju. Be CISA sistemos, laiko tarpas tarp atskleidimo ir bendruomenės gynybos gali būti pavojingai ilgas.
      4. Pasitikėjimo erozija : Jau ir taip sukrėsta „CrowdStrike“ vardų sričių kompromitacijos, atvirojo kodo bendruomenė gali dar labiau nenorėti pasitikėti centriniais registrais, jei nebus stipraus ir koordinuoto federalinio ir privataus sektoriaus atsako.

      Politikos ir pramonės rekomendacijos

      1. Neatidėliotini teisėkūros veiksmai

      Kongresas turėtų atnaujinti arba pratęsti CISA 2015 iki rugsėjo pabaigos. To nepadarius, priešininkams būtų parodyta, kad JAV varžosi didėdama kibernetine grėsme.

      2. Registro apsaugos stiprinimas

      npm, PyPI, RubyGems ir kitiems registrams reikalingos griežtesnės apsaugos priemonės:

      • Privalomas daugiafaktorinis autentifikavimas leidėjams.
      • Automatinis anomalijų aptikimas neįprastiems publikavimo pliūpsniams.
      • Publikuotų paketų kodo pasirašymas .
      • Pakuotės kilmės patikrinimai, integruoti į CI/CD sistemas.

      3. Tiekėjo vardų srities apsauga

      Tokie pardavėjai kaip „CrowdStrike“ turėtų apsvarstyti:

      • Viešųjų paketų privatūs veidrodžiai, skirti apsaugoti įmones nuo neteisėtai modifikuotų versijų.
      • Nuolatinis vardų sričių užgrobimo stebėjimas.
      • Viešai atskleistos „žinomos geros“ kiekvieno leidimo maišos.

      4. Privačiojo sektoriaus auditai

      Organizacijos turėtų:

      • Prisegti priklausomybes prie fiksuotų versijų.
      • Patikrinkite CI/CD darbo eigas, ar nėra neleistinų pakeitimų.
      • Nedelsdami pakeiskite prisijungimo duomenis (npm žetonus, „GitHub“ žetonus, debesies raktus), jei jie tampa žinomi.

      5. Federalinis ir privatus bendradarbiavimas

      Net jei CISA laikinai nustos galioti, spragą turi užpildyti ad hoc struktūros:

      • Bendri CISA, „Socket.dev“, „GitHub“ ir „npm“ patarimai.
      • Kenkėjiškų maišos kodų ir galinių taškų sklaidos kanalai realiuoju laiku.
      • Finansinė ir techninė parama atvirojo kodo programų kūrėjams (dažnai neatlygintiniems savanoriams).

      Išvada: silpnybių susidūrimas

      „Shai-Hulud“ kampanija įrodo, kad tiekimo grandinės atakos nebėra „kraštutiniai atvejai“ – jos tampa standartine priešo taktika. Paketų, esančių „CrowdStrike“ vardų erdvėje, kompromitavimas pabrėžia, koks trapus tapo pasitikėjimas ekosistema.

      Ir kaip tik šiai grėsmei didėjant, JAV gali leisti CISA 2015 galiojimui pasibaigti – taip išardyti teisinius pastolius, kurie leidžia keistis informacija ir greitai reaguoti.

      Pamoka skaudi: be įstatymų leidybos atnaujinimo ir pramonės reformos JAV rizikuoja įžengti į pavojingiausią programinės įrangos tiekimo grandinės kompromisų erą – erą, kai priešininkai išnaudoja ir techninius pažeidžiamumus, ir politikos vakuumą.

      Trumpai tariant: trapus kodeksas + trapus įstatymas = nacionalinė rizika.

      Įkeliama...