Kortingsaanbieding voor meerdere licenties
Computerbeveiliging CrowdStrike, Shai-Hulud en de dreigende afloop van CISA...

CrowdStrike, Shai-Hulud en de dreigende afloop van CISA 2015: waarom de VS niet kunnen slapen vanwege aanvallen op de softwaretoeleveringsketen

Tegen Sandos in Computerbeveiliging
Vertalen naar:

Fragiele kettingen voldoen aan de fragiele wetten

De beveiligingskrantenkoppen van 2025 werden gedomineerd door ransomware-bendes, AI-gedreven cyberdreigingen en geopolitieke hackcampagnes. Maar de stillere, meer verraderlijke trend doet zich voor in de toeleveringsketens van de open-sourcewereld – met name in het npm JavaScript-ecosysteem.

De laatste golf aanvallen, gegroepeerd onder de naam "Shai-Hulud" , heeft tientallen npm-pakketten gecompromitteerd, waaronder die gepubliceerd onder de CrowdStrike-naamruimte . Dat feit alleen al zou alarmerend moeten zijn: wanneer kwaadwillenden pakketten van een van 's werelds meest bekende cybersecurityleveranciers kunnen vergiftigen, staat het vertrouwen in het software-ecosysteem op het spel.

En dit speelt zich af tegen een kritieke beleidsachtergrond: de aanstaande afloop van de Cybersecurity Information Sharing Act van 2015 (CISA 2015) eind september. CISA 2015 vormt de basis voor een groot deel van de vrijwillige, door aansprakelijkheid beschermde uitwisseling van indicatoren van compromittering (IOC's) tussen de private sector en federale overheidsinstanties. Als deze wet vervalt, zullen de VS proberen aanvallen in Shai-Hulud-stijl met één hand op de rug te bestrijden.

De Shai-Hulud-campagne: anatomie van een aanval op de toeleveringsketen

1. Initieel compromis

De aanvallers infiltreerden npm-accounts die gekoppeld waren aan legitieme pakketten (sommige van individuele beheerders, andere onder organisatienaamruimten). Door het package.json aan te passen en een schadelijk bestand met de naam bundle.js te embedden, trojaniseerden ze anderszins betrouwbare projecten.

2. Payload: Het Bundle.js-implantaat

Het implantaat is geen subtiele 'scriptkiddie'-malware. Het voert een reeks precieze, geautomatiseerde taken uit:

  • Token harvesting : zoekt in de hostomgeving naar geheimen zoals NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID en AWS_SECRET_ACCESS_KEY .
  • Implementatie van de tool : Downloadt en voert TruffleHog uit, een open-source hulpprogramma dat normaal gesproken wordt gebruikt om repositories te scannen op gelekte geheimen. Hier wordt het op een aanvallende manier hergebruikt om lokale systemen te scannen.
  • Verificatie : valideert verzamelde tokens door eenvoudige API-verzoeken uit te voeren om te bevestigen welke inloggegevens actief zijn.
  • Persistentie via CI/CD : maakt of wijzigt .github/workflows -mappen om schadelijke GitHub Actions-workflows in te voegen — vaak shai-hulud.yaml of shai-hulud-workflow.yml genoemd. Deze workflows kunnen geheimen opnieuw exfiltreren tijdens toekomstige CI/CD-runs.
  • Exfiltratie : stuurt de gestolen inloggegevens en resultaten naar hardgecodeerde webhook-eindpunten, die vaak worden beheerd via wegwerpinfrastructuur.

    • 3. Voortplanting

    Omdat npm-pakketten nauw met elkaar verbonden zijn, kan zelfs één enkele inbreuk een cascade-effect hebben. De kwaadaardige versies werden geüpload naar npm-registers en automatisch verspreid naar ontwikkelaars die afhankelijkheden bijwerkten of installeerden. Dit betekent dat duizenden downstream-projecten onbedoeld vergiftigde code kunnen hebben opgehaald.

    Het incident met tinycolor eerder in september illustreert het risico. Die bibliotheek ( @ctrl/tinycolor ) wordt wekelijks miljoenen keren gedownload. Toen deze werd gecompromitteerd met de Shai-Hulud-payload, raakten meer dan 40 downstream-pakketten besmet.

    4. CrowdStrike-naamruimte-inbreuk

    De meest alarmerende ontdekking was dat pakketten die onder de @crowdstrike npm-naamruimte werden gepubliceerd, ook gecompromitteerd waren. Socket.dev identificeerde tientallen geïnfecteerde versies, waarvan sommige in een sneltreinvaart werden uitgebracht tussen 14 en 16 september 2025 .

    Hoewel er geen bewijs is dat er inbreuk is gemaakt op de interne infrastructuur van CrowdStrike, zijn de reputatieschade en de systemische gevolgen ernstig:

    • Ontwikkelaars verwachten dat leveranciersnaamruimten zoals @crowdstrike waterdicht zijn.
    • Een vergiftigde naamruimte ondermijnt niet alleen het vertrouwen in de leverancier, maar ook in npm zelf.
    • Tegenstanders begrepen duidelijk de symbolische en praktische kracht van een dergelijk compromis.

    Technische indicatoren en waarneembare gegevens

    Om dit verder te onderbouwen, kwamen de volgende technische markeringen naar voren uit de analyse van de Shai-Hulud-pakketten:

    • Kwaadaardige bestanden : bundle.js , index.js (gewijzigd om bundle aan te roepen), ingevoegde workflowbestanden in .github/workflows/ .
    • Workflow-payloads : bevatten doorgaans stappen om geheimen te krullen en te POST'en naar webhooks van aanvallers.
    • Hergebruik van hash : Identieke SHA-256-hashes van bundle.js -bestanden over meerdere pakketten, ter bevestiging van campagnecoördinatie.
    • Exfiltratie-eindpunten : webhooks die worden gehost op standaardplatforms (bijvoorbeeld Discord, Slack, inkomende webhooks of tijdelijke cloudservices).
    • Publicatiepatronen : tientallen pakketversies worden binnen enkele minuten gepubliceerd, in overeenstemming met geautomatiseerde tools in plaats van handmatige publicatie.

      • Deze indicatoren zijn niet zomaar forensische trivia. Ze benadrukken de automatisering en discipline van de tegenstander – dit was een campagne die ontworpen was voor schaal , niet voor experimenten.

      Waarom aanvallen op de toeleveringsketen zo gevaarlijk zijn

      Aanvallen op de toeleveringsketen omzeilen de buitengrens. In plaats van firewalls te doorbreken, liften ze mee via de vertrouwde software-updates en -bibliotheken waar organisaties dagelijks op vertrouwen.

      • Omvang van het bereik : Als u één enkel npm-pakket zoals tinycolor of een organisatorische naamruimte zoals @crowdstrike in gevaar brengt, worden mogelijk duizenden downstream-systemen blootgesteld.
      • Vertrouwenskaping : Ontwikkelaars vertrouwen pakketbeheerders van nature; vergiftigde updates worden automatisch geïnstalleerd.
      • Stealth en persistentie : door het inbedden van schadelijke GitHub Actions-workflows zorgt de aanvaller voor terugkerende exfiltratie, zelfs nadat de oorspronkelijke schadelijke versie is verwijderd.

      Daarom zijn aanvallen als Shai-Hulud van strategisch belang: ze veranderen de mechanismen van moderne softwareontwikkeling – pakketbeheerders, CI/CD-pijplijnen, open-source afhankelijkheden – in aanvalsoppervlakken.

      Waarom het verlopen van CISA 2015 de inzet verhoogt

      De rol van CISA 2015

      De Cybersecurity Information Sharing Act van 2015 creëerde kaders voor particuliere organisaties om dreigingsindicatoren te delen met DHS (en later CISA) zonder aansprakelijkheid. De doelstellingen:

      • Stimuleer het snel delen van IOC's tussen sectoren.
      • Bied aansprakelijkheidsbescherming voor bedrijven die indicatoren te goeder trouw bekendmaken.
      • Standaardiseer technische formaten (STIX/TAXII) voor machineleesbare uitwisseling.

      Risico's van vervaldatum

      Als de wet eind september vervalt:

      1. Minder delen : Beheerders, registers en leveranciers die door Shai-Hulud worden getroffen, aarzelen mogelijk om gegevens te delen uit angst voor rechtszaken of negatieve regelgeving.
      2. Gefragmenteerde reactie : zonder federale coördinatie blijft de informatie over aanhoudende aanvallen beperkt tot individuele leveranciers of onderzoekers.
      3. Langzamere mitigatie : Tijd is cruciaal bij aanvallen in de toeleveringsketen. Zonder het CISA-framework zou de vertraging tussen ontdekking en community-verdediging gevaarlijk lang kunnen duren.
      4. Erosie van vertrouwen : De open source-community is al geschokt door de inbreuk op de CrowdStrike-naamruimte en zal mogelijk nog terughoudender worden om centrale registers te vertrouwen als er geen krachtige, gecoördineerde reactie van de federale overheid en de private sector komt.

      Beleids- en industrie-aanbevelingen

      1. Onmiddellijke wetgevende actie

      Het Congres zou CISA 2015 vóór september moeten hernieuwen of verlengen . Als dat niet gebeurt, zou dat voor tegenstanders het signaal zijn dat de VS zichzelf in de weg zitten door de toenemende cyberrisico's.

      2. Registerverharding

      npm, PyPI, RubyGems en andere registers hebben sterkere beveiligingen nodig:

      • Verplichte multi-factor-authenticatie voor uitgevers.
      • Geautomatiseerde detectie van anomalieën bij ongebruikelijke publicatiepieken.
      • Codeondertekening voor gepubliceerde pakketten.
      • Herkomstcontroles van pakketten geïntegreerd in CI/CD-systemen.

      3. Leveranciersnaamruimtebeveiliging

      Leveranciers zoals CrowdStrike moeten rekening houden met:

      • Privéspiegels van openbare pakketten om bedrijven te beschermen tegen gemanipuleerde versies.
      • Continue monitoring op naamruimtekaping.
      • Openbaar gemaakte 'bekende goede' hashes voor elke release.

      4. Audits door de particuliere sector

      Organisaties moeten:

      • Afhankelijkheden vastmaken aan vaste versies.
      • Controleer CI/CD-workflows op ongeautoriseerde wijzigingen.
      • Roteer de inloggegevens (npm-tokens, GitHub-tokens, cloudsleutels) onmiddellijk als deze openbaar zijn gemaakt.

      5. Federale-private samenwerking

      Ook al vervalt CISA tijdelijk, dan moeten ad-hocstructuren de leemte opvullen:

      • Gezamenlijke adviezen van CISA, Socket.dev, GitHub en npm.
      • Realtimefeeds van schadelijke hashes en eindpunten.
      • Financiële en technische ondersteuning voor open-sourcebeheerders (vaak onbetaalde vrijwilligers).

      Conclusie: een botsing van zwakheden

      De Shai-Hulud-campagne bewijst dat aanvallen op de toeleveringsketen niet langer 'edge cases' zijn – ze worden een standaard tactiek van tegenstanders. De inbreuk op pakketten onder de CrowdStrike-naamruimte onderstreept hoe kwetsbaar het vertrouwen in het ecosysteem is geworden.

      En terwijl deze dreiging escaleert, kan het zijn dat de VS CISA 2015 laat verlopen. Daarmee wordt het juridische kader ontmanteld dat informatie-uitwisseling en snelle reactie mogelijk maakt.

      De les is duidelijk: zonder vernieuwing van de wetgeving en hervormingen van de sector riskeren de VS het gevaarlijkste tijdperk van compromissen in de softwaretoeleveringsketen tot nu toe – een tijdperk waarin tegenstanders zowel technische kwetsbaarheden als beleidslacunes uitbuiten.

      Kortom: kwetsbare code + kwetsbare wetgeving = nationaal risico.

      Bezig met laden...