Multi-License Discount Quote
Seguridad ng Computer CrowdStrike, Shai-Hulud, at ang Nalalapit na Pag-expire...

CrowdStrike, Shai-Hulud, at ang Nalalapit na Pag-expire ng CISA 2015: Bakit Hindi Makatulog ang US sa Mga Pag-atake sa Supply Chain ng Software

Sa pamamagitan ng Sandos sa Seguridad ng Computer
Isalin To:

Ang mga Marupok na Kadena ay Nakakatugon sa Mga Marupok na Batas

Ang mga headline ng seguridad noong 2025 ay pinangungunahan ng mga ransomware gang, AI-driven cyberthreats, at geopolitical hacking campaign. Ngunit ang mas tahimik, mas mapanlinlang na kalakaran ay nangyayari sa mga supply chain ng open-source na mundo — partikular sa npm JavaScript ecosystem.

Ang pinakabagong alon ng mga pag-atake, na pinagsama-sama sa ilalim ng pangalang “Shai-Hulud” , ay nakompromiso ang dose-dosenang npm package, kabilang ang mga na-publish sa ilalim ng CrowdStrike namespace . Ang katotohanang iyon lamang ang dapat mag-alarma: kapag ang mga kalaban ay maaaring lason ang mga pakete na nauugnay sa isa sa pinakakilalang cybersecurity vendor sa mundo, ang pagtitiwala sa software ecosystem ay nakataya.

At ito ay lumalabas laban sa isang kritikal na backdrop ng patakaran: ang nakabinbing pag-expire ng Cybersecurity Information Sharing Act of 2015 (CISA 2015) sa katapusan ng Setyembre. Ang CISA 2015 ay sumasailalim sa karamihan ng boluntaryo, protektado ng pananagutan na pagbabahagi ng mga tagapagpahiwatig ng kompromiso (IOCs) sa pagitan ng pribadong sektor at mga pederal na ahensya. Kung ito ay mawala, susubukan ng US na harapin ang mga pag-atake ng istilong Shai-Hulud na nakatali ang isang kamay sa likod nito.

Ang Shai-Hulud Campaign: Anatomy of a Supply Chain Attack

1. Paunang Kompromiso

Pinasok ng mga attacker ang mga npm account na naka-link sa mga lehitimong package (ang ilan ay pag-aari ng mga indibidwal na maintainer, ang iba ay nasa ilalim ng mga namespace ng organisasyon). Sa pamamagitan ng pagbabago sa package.json at pag-embed ng malisyosong file na pinangalanang bundle.js , na-trojan nila ang mga mapagkakatiwalaang proyekto.

2. Payload: Ang Bundle.js Implant

Ang implant ay hindi banayad na "script kiddie" na malware. Nagsasagawa ito ng isang serye ng tumpak, automated na mga gawain:

  • Pag-aani ng token : Hinahanap ang kapaligiran ng host para sa mga lihim tulad ng NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID , at AWS_SECRET_ACCESS_KEY .
  • Pag-deploy ng tool : Nagda-download at nagpapatakbo ng TruffleHog , isang open-source na utility na karaniwang ginagamit upang i-scan ang mga repositoryo para sa mga na-leak na lihim. Dito ito ay repurposed offensively upang walisin ang mga lokal na sistema.
  • Pag-verify : Pinapatunayan ang mga na-harvest na token sa pamamagitan ng pagsasagawa ng magaan na mga kahilingan sa API upang kumpirmahin kung aling mga kredensyal ang aktibo.
  • Pagtitiyaga sa pamamagitan ng CI/CD : Gumagawa o nagbabago ng mga direktoryo ng .github/workflows upang magpasok ng mga nakakahamak na daloy ng trabaho ng Mga Aksyon sa GitHub — kadalasang pinangalanang shai-hulud.yaml o shai-hulud-workflow.yml . Ang mga daloy ng trabaho na ito ay maaaring muling mag-exfiltrate ng mga lihim sa hinaharap na pagtakbo ng CI/CD.
  • Exfiltration : Nagpapadala ng mga ninakaw na kredensyal at resulta sa mga hardcoded na webhook endpoint, na kadalasang kinokontrol sa pamamagitan ng disposable infrastructure.

    • 3. Pagpapalaganap

    Dahil ang mga npm package ay malalim na magkakaugnay, kahit isang kompromiso ay maaaring mag-cascade. Ang mga nakakahamak na bersyon ay na-upload sa npm registries at awtomatikong ipinamahagi sa mga developer na nag-update o nag-install ng mga dependency. Nangangahulugan ito na ang libu-libong mga proyekto sa ibaba ng agos ay maaaring hindi sinasadyang nakakuha ng poisoned code.

    Ang insidente ng tinycolor noong Setyembre ay naglalarawan ng panganib. Ang library na iyon ( @ctrl/tinycolor ) ay dina-download milyun-milyong beses kada linggo. Nang ito ay nakompromiso sa Shai-Hulud payload, higit sa 40 downstream na pakete ang nalason.

    4. Paglabag sa Namespace ng CrowdStrike

    Ang pinakanakaaalarma na pagtuklas ay ang mga package na na-publish sa ilalim ng @crowdstrike npm namespace ay nakompromiso din. Tinukoy ng Socket.dev ang dose-dosenang mga nalason na bersyon, ang ilan ay inilabas sa isang mabilis na pagsabog sa pagitan ng Setyembre 14–16, 2025 .

    Bagama't walang katibayan na ang sariling panloob na imprastraktura ng CrowdStrike ay nilabag, ang reputasyon at sistematikong mga implikasyon ay malubha:

    • Inaasahan ng mga developer na ang mga namespace ng vendor tulad ng @crowdstrike ay magiging matatag.
    • Ang isang poisoned namespace ay sumisira sa tiwala hindi lamang sa vendor kundi sa npm mismo.
    • Malinaw na naunawaan ng mga kalaban ang simboliko at praktikal na kapangyarihan ng naturang kompromiso.

    Mga Teknikal na Tagapagpahiwatig at Obserbasyon

    Upang higit pang pagtibayin ito, lumitaw ang mga sumusunod na teknikal na marker mula sa pagsusuri sa mga pakete ng Shai-Hulud:

    • Mga nakakahamak na file : bundle.js , index.js (binago sa call bundle), nagpasok ng mga file ng workflow sa .github/workflows/ .
    • Mga payload sa daloy ng trabaho : Karaniwang naglalaman ng mga hakbang upang mabaluktot ang mga lihim at POST sa mga webhook ng attacker.
    • Muling paggamit ng hash : Magkaparehong SHA-256 na mga hash ng mga bundle.js na file sa maraming package, na nagkukumpirma sa koordinasyon ng campaign.
    • Mga endpoint ng exfiltration : Mga webhook na naka-host sa mga platform ng kalakal (hal., Discord, Slack na mga papasok na webhook, o pansamantalang serbisyo sa cloud).
    • Mga pattern sa pag-publish : Mga pagsabog ng dose-dosenang mga bersyon ng package na na-publish sa ilang minuto, na naaayon sa awtomatikong tooling sa halip na manu-manong pag-publish.

      • Ang mga indicator na ito ay hindi lamang forensic trivia. Itinatampok nila ang automation at disiplina ng kalaban — ito ay isang kampanyang idinisenyo para sa sukat , hindi sa pag-eksperimento.

      Bakit Napakadelikado ng Mga Pag-atake sa Supply Chain

      Ang mga pag-atake ng supply chain ay lumalampas sa panlabas na perimeter. Sa halip na masira ang mga firewall, sumakay sila sa loob ng mga pinagkakatiwalaang update ng software at library na umaasa sa araw-araw ng mga organisasyon.

      • Scale of reach : Ang pagkompromiso sa isang npm package tulad ng tinycolor o isang organizational namespace tulad ng @crowdstrike ay posibleng maglantad ng libu-libong downstream system.
      • Trust hijack : Ang mga developer ay likas na nagtitiwala sa mga manager ng package; awtomatikong na-install ang mga poisoned update.
      • Stealth at pagpupursige : Sa pamamagitan ng pag-embed ng mga nakakahamak na daloy ng trabaho sa GitHub Actions, tinitiyak ng attacker ang paulit-ulit na exfiltration kahit na maalis ang orihinal na malisyosong bersyon.

      Ito ang dahilan kung bakit ang mga pag-atake tulad ng Shai-Hulud ay madiskarteng makabuluhan: ginagawa nila ang mismong mga mekanismo ng modernong software development — mga manager ng package, mga pipeline ng CI/CD, mga open-source na dependency — sa mga attack surface.

      Bakit ang Pag-expire ng CISA 2015 ay Nagtataas ng Stakes

      Ang Papel ng CISA 2015

      Ang Cybersecurity Information Sharing Act of 2015 ay nagtatag ng mga balangkas para sa mga pribadong entity na magbahagi ng mga tagapagpahiwatig ng pagbabanta sa DHS (at mamaya CISA) nang walang pananagutan. Mga layunin nito:

      • Hikayatin ang mabilis na pagbabahagi ng mga IOC sa mga sektor.
      • Magbigay ng mga proteksyon sa pananagutan para sa mga kumpanyang nagsisiwalat ng mga tagapagpahiwatig nang may mabuting loob.
      • I-standardize ang mga teknikal na format (STIX/TAXII) para sa pagpapalitan na nababasa ng makina.

      Mga Panganib ng Expiration

      Kung ang batas ay lumipas sa katapusan ng Setyembre:

      1. Pinababang Pagbabahagi : Maaaring mag-atubiling magbahagi ang mga maintainer, registry, at vendor na tinamaan ng Shai-Hulud na magbahagi ng mga detalye dahil sa takot sa mga demanda o regulatory blowback.
      2. Fragmented Response : Kung walang pederal na koordinasyon, ang intelligence sa mga patuloy na pag-atake ay mananatiling tahimik sa mga indibidwal na vendor o researcher.
      3. Mas Mabagal na Pagbawas : Ang oras ay kritikal sa mga pag-atake sa supply chain. Kung walang balangkas ng CISA, ang lag sa pagitan ng pagtuklas at pagtatanggol ng komunidad ay maaaring mapanganib.
      4. Erosion of Trust : Nayanig na ng kompromiso sa namespace ng CrowdStrike, ang open-source na komunidad ay maaaring lalong mag-atubili na magtiwala sa mga sentral na rehistro na walang malakas, pinag-ugnay na pederal-pribadong tugon.

      Mga Rekomendasyon sa Patakaran at Industriya

      1. Agarang Pagkilos sa Pambatasan

      Dapat i-renew o palawigin ng Kongreso ang CISA 2015 bago matapos ang Setyembre. Ang pagkabigong gawin ito ay magiging senyales sa mga kalaban na pinipigilan ng US ang sarili sa harap ng tumitinding panganib sa cyber.

      2. Pagpapatigas ng Rehistro

      Ang npm, PyPI, RubyGems, at iba pang mga rehistro ay nangangailangan ng mas matibay na mga pananggalang:

      • Mandatory na multi-factor na pagpapatotoo para sa mga publisher.
      • Awtomatikong pagtuklas ng anomalya para sa mga hindi pangkaraniwang pagsabog ng pag-publish.
      • Pag-sign ng code para sa na-publish na mga pakete.
      • Package provenance checks na naka-embed sa CI/CD system.

      3. Proteksyon sa Namespace ng Vendor

      Dapat isaalang-alang ng mga vendor tulad ng CrowdStrike:

      • Mga pribadong salamin ng mga pampublikong pakete upang protektahan ang mga negosyo mula sa mga pinakialaman na bersyon.
      • Patuloy na pagsubaybay para sa pag-hijack ng namespace.
      • Ibinunyag sa publiko ang "kilalang-mahusay" na mga hash para sa bawat release.

      4. Mga Pag-audit ng Pribadong Sektor

      Ang mga organisasyon ay dapat:

      • I-pin ang mga dependency sa mga nakapirming bersyon.
      • I-audit ang mga daloy ng trabaho sa CI/CD para sa mga hindi awtorisadong pagbabago.
      • I-rotate kaagad ang mga kredensyal (npm token, GitHub token, cloud keys) kung nalantad.

      5. Federal-Private Collaboration

      Kahit na pansamantalang mawala ang CISA, dapat punan ng mga istrukturang ad-hoc ang kawalan:

      • Mga pinagsamang advisory sa pagitan ng CISA, Socket.dev, GitHub, at npm.
      • Mga real-time na feed ng mga nakakahamak na hash at endpoint.
      • Pinansyal at teknikal na suporta para sa mga open-source maintainer (kadalasang hindi binabayarang mga boluntaryo).

      Konklusyon: Isang banggaan ng mga kahinaan

      Ang kampanyang Shai-Hulud ay nagpapatunay na ang mga pag-atake sa supply chain ay hindi na "mga dulong kaso" — nagiging karaniwang taktika ng kalaban. Binibigyang-diin ng kompromiso ng mga pakete sa ilalim ng namespace ng CrowdStrike kung gaano naging mahina ang tiwala sa ecosystem.

      At habang tumitindi ang banta na ito, maaaring payagan ng US na mag-expire ang CISA 2015 — pagbuwag sa legal na scaffolding na nagbibigay-daan sa pagbabahagi ng impormasyon at mabilis na pagtugon.

      Malinaw ang aral: nang walang pag-renew ng lehislatibo at reporma sa industriya, nanganganib ang US na pumasok sa pinakamapanganib na panahon ng kompromiso sa supply chain ng software — isa kung saan sinasamantala ng mga kalaban ang parehong mga teknikal na kahinaan at mga vacuum sa patakaran.

      Sa madaling salita: marupok na code + marupok na batas = pambansang panganib.

      Naglo-load...