Попуст за више лиценци
Цомпутер Сецурити CrowdStrike, Shai-Hulud и скори истек CISA 2015: Зашто...

CrowdStrike, Shai-Hulud и скори истек CISA 2015: Зашто САД не могу да спавају пред нападима на ланац снабдевања софтвером

До Sandos. у Цомпутер Сецурити
Преведи на:

Крхки ланци сусрећу крхке законе

Наслови вести о безбедности у 2025. години доминирани су бандама које користе ransomware, сајбер претње вођене вештачком интелигенцијом и геополитичким хакерским кампањама. Али тиши, подмуклији тренд се дешава у ланцима снабдевања света отвореног кода — посебно у npm JavaScript екосистему.

Најновији талас напада, груписан под називом „Shai-Hulud“ , компромитовао је десетине npm пакета, укључујући и оне објављене под именским простором CrowdStrike . Сама та чињеница требало би да буде алармантна: када противници могу да отрују пакете повезане са једним од најпрепознатљивијих светских добављача сајбер безбедности, поверење у софтверски екосистем је у питању.

И ово се одвија у контексту критичне политике: предстојећег истека Закона о размени информација о сајбер безбедности из 2015. године (CISA 2015) крајем септембра. CISA 2015 је основа добровољног, одговорношћу заштићеног дељења индикатора компромитовања (IOC) између приватног сектора и савезних агенција. Ако истекне, САД ће покушати да се суоче са нападима у стилу Шаи-Хулуда са једном руком везаном иза леђа.

Кампања Шаи-Хулуд: Анатомија напада на ланац снабдевања

1. Почетни компромис

Нападачи су се инфилтрирали у npm налоге повезане са легитимним пакетима (неки припадају појединачним одржаваоцима, други под организационим именским просторима). Модификовањем package.json и уграђивањем злонамерне датотеке под називом bundle.js , тројанизирали су иначе поуздане пројекте.

2. Корисни терет: Имплантат Bundle.js

Имплант није суптилни „script kiddie“ злонамерни софтвер. Он извршава низ прецизних, аутоматизованих задатака:

  • Прикупљање токена : Претражује окружење хоста за тајне као што су NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID и AWS_SECRET_ACCESS_KEY .
  • Распоређивање алата : Преузима и покреће TruffleHog , услужни програм отвореног кода који се обично користи за скенирање спремишта у потрази за процурелим тајнама. Овде је офанзивно пренамењен за претраживање локалних система.
  • Верификација : Валидира прикупљене токене извршавањем једноставних API захтева како би се потврдило који су акредитиви активни.
  • Перзистентност путем CI/CD : Креира или мења директоријуме .github/workflows да би убацио злонамерне токове рада GitHub Actions — често назване shai-hulud.yaml или shai-hulud-workflow.yml . Ови токови рада могу поново да открију тајне током будућих CI/CD покретања.
  • Изкрадање : Шаље украдене акредитиве и резултате на чврсто кодиране вебхук крајње тачке, често контролисане путем инфраструктуре за једнократну употребу.

    • 3. Размножавање

    Пошто су npm пакети дубоко међусобно повезани, чак и једно компромитовање може да се каскадно шири. Злонамерне верзије су отпремљене у npm регистре и аутоматски дистрибуиране програмерима који су ажурирали или инсталирали зависности. То значи да су хиљаде низводних пројеката могле ненамерно да извуку заражени код.

    Инцидент са tinycolor-ом раније у септембру илуструје ризик. Та библиотека ( @ctrl/tinycolor ) се преузима милионе пута недељно. Када је угрожена корисним оптерећењем Shai-Hulud-а, више од 40 низводних пакета је затровано.

    4. Кршење именског простора CrowdStrike-а

    Најалармантније откриће је било да су пакети објављени под именским простором @crowdstrike npm такође били компромитовани. Socket.dev је идентификовао десетине заражених верзија, од којих су неке објављене у брзом налету између 14. и 16. септембра 2025. године .

    Иако нема доказа да је дошло до кршења интерне инфраструктуре CrowdStrike-а, репутационе и системске импликације су озбиљне:

    • Програмери очекују да ће именски простори добављача попут @crowdstrike бити непоколебљиви.
    • Затровани именски простор поткопава поверење не само у добављача већ и у сам npm.
    • Противници су јасно разумели симболичку и практичну моћ таквог компромиса.

    Технички индикатори и посматране величине

    Да би се ово додатно поткрепило, из анализе Шаи-Хулуд пакета појавили су се следећи технички маркери:

    • Злонамерне датотеке : bundle.js , index.js (модификовано да позива bundle), уметнуте датотеке тока посла у .github/workflows/ .
    • Корисни терет тока посла : Обично садржи кораке за увијање тајни и слање порука вебхуковима нападача.
    • Поновна употреба хеша : Идентични SHA-256 хешеви bundle.js датотека у више пакета, што потврђује координацију кампање.
    • Крајње тачке ексфилтрације : Вебхукови хостовани на стандардним платформама (нпр. Discord, Slack долазни вебхукови или привремени сервиси у облаку).
    • Обрасци објављивања : Рафално објављивање десетина верзија пакета за неколико минута, у складу са аутоматизованим алатима уместо ручног објављивања.

      • Ови индикатори нису само форензичке тривијалности. Они истичу аутоматизацију и дисциплину противника — ово је била кампања осмишљена за обим , а не за експериментисање.

      Зашто су напади на ланац снабдевања толико опасни

      Напади на ланац снабдевања заобилазе спољашњи периметар. Уместо да пробију заштитне зидове, они се увлаче унутар поузданих ажурирања софтвера и библиотека на које се организације свакодневно ослањају.

      • Обим домета : Компромитовање једног npm пакета као што је tinycolor или организационог именског простора као што је @crowdstrike потенцијално открива хиљаде низводних система.
      • Отимање поверења : Програмери суштински верују менаџерима пакета; заражена ажурирања се инсталирају аутоматски.
      • Прикривеност и упорност : Уграђивањем злонамерних GitHub Actions радних процеса, нападач осигурава поновљено извлачење чак и након што је оригинална злонамерна верзија уклоњена.

      Зато су напади попут Шаи-Хулуда стратешки значајни: они претварају саме механизме модерног развоја софтвера - менаџере пакета, CI/CD цевоводе, зависности отвореног кода - у површине за напад.

      Зашто истек CISA 2015 подиже улоге

      Улога CISA 2015

      Закон о размени информација о сајбер безбедности из 2015. године успоставио је оквире за приватне субјекте да деле индикаторе претњи са DHS (а касније и CISA) без икакве одговорности. Његови циљеви:

      • Подстаћи брзу размену МОК-ова међу секторима.
      • Обезбедити заштиту од одговорности за компаније које откривају индикаторе у доброј вери.
      • Стандардизујте техничке формате (STIX/TAXII) за машински читљиву размену.

      Ризици истека

      Ако закон истекне крајем септембра:

      1. Смањено дељење : Одржаваоци, регистри и добављачи погођени Шаи-Хулуд-ом могу оклевати да деле детаље из страха од тужби или регулаторних реакција.
      2. Фрагментиран одговор : Без федералне координације, обавештајни подаци о текућим нападима остаће изоловани међу појединачним добављачима или истраживачима.
      3. Спорије ублажавање : Време је кључно код напада на ланац снабдевања. Без CISA оквира, кашњење између откривања и одбране заједнице могло би се опасно продужити.
      4. Ерозија поверења : Већ потресена компромисом у именском простору CrowdStrike-а, заједница отвореног кода могла би постати још невољнија да верује централним регистрима уколико не одговори снажно и координисано савезно-приватно.

      Препоруке за политику и индустрију

      1. Непосредна законодавна акција

      Конгрес би требало да обнови или продужи CISA 2015 пре краја септембра. Уколико се то не учини, то би сигнализирало противницима да САД саме себе ограничавају суочене са ескалацијом сајбер ризика.

      2. Јачање регистра

      npm, PyPI, RubyGems и други регистри требају јаче мере заштите:

      • Обавезна вишефакторска аутентификација за издаваче.
      • Аутоматизовано откривање аномалија за неуобичајене налете објављивања.
      • Потписивање кода за објављене пакете.
      • Провере порекла пакета уграђене у CI/CD системе.

      3. Заштита именског простора добављача

      Продавци попут CrowdStrike-а требало би да размотре:

      • Приватна огледала јавних пакета за заштиту предузећа од неовлашћено измењених верзија.
      • Континуирано праћење отмице именског простора.
      • Јавно објављени „познати као добри“ хешеви за свако издање.

      4. Ревизије приватног сектора

      Организације би требало да:

      • Закачи зависности на фиксне верзије.
      • Ревидирајте CI/CD токове рада за неовлашћене измене.
      • Одмах ротирајте акредитиве (npm токене, GitHub токене, cloud кључеве) ако су откривени.

      5. Сарадња федералног и приватног сектора

      Чак и ако CISA привремено престане да важи, ад хок структуре морају попунити празнину:

      • Заједничка упозорења између CISA, Socket.dev, GitHub и npm.
      • Достављање информација о злонамерним хешевима и крајњим тачкама у реалном времену.
      • Финансијска и техничка подршка за одржаваоце отвореног кода (често неплаћене волонтере).

      Закључак: Судар слабости

      Кампања Шаи-Хулуд доказује да напади на ланац снабдевања више нису „гранични случајеви“ — они постају стандардна тактика противника. Компромитовање пакета под именским простором CrowdStrike наглашава колико је поверење у екосистем постало крхко.

      И баш када се ова претња појача, САД би могле дозволити да CISA 2015 истекне — демонтирајући правну скелу која омогућава размену информација и брз одговор.

      Лекција је јасна: без обнове законодавства и реформе индустрије, САД ризикују да уђу у најопаснију еру компромиса у ланцу снабдевања софтвером до сада – ону у којој противници искоришћавају и техничке рањивости и политичке вакууме.

      Укратко: крхки код + крхки закон = национални ризик.

      Учитавање...