Зловмисний черв'як компрометує крипто-домени внаслідок атаки на ланцюг постачання

24 листопада компанія з безпеки Aikido виявила другу хвилю самореплікуючого npm-черв'яка Shai-Hulud, який скомпрометував 492 пакети із загальною кількістю 132 мільйони завантажень на місяць.

Атака вразила основні екосистеми, включаючи AsyncAPI, PostHog, Postman, Zapier та ENS, використовуючи останні тижні перед дедлайном npm 9 грудня щодо відкликання застарілих токенів автентифікації.

Черга тріажу Aikido позначила вторгнення близько 3:16 AM UTC, коли шкідливі версії go-template AsyncAPI та 36 пов’язаних пакетів почали поширюватися по реєстру.

Зловмисник позначив репозиторії зі вкраденими обліковими даними описом “Sha1-Hulud: The Second Coming”, зберігаючи театралізований брендинг із кампанії вересня.

Черв’як встановлює середовище виконання Bun під час налаштування пакета, а потім виконує шкідливий код, який шукає у середовищах розробників відкриті секрети за допомогою TruffleHog.

Скомпрометовані API-ключі, токени GitHub та облікові дані npm публікуються у випадково названих публічних репозиторіях, а шкідливе ПЗ намагається поширитися, завантажуючи нові заражені версії до ще 100 додаткових пакетів, що у п’ять разів перевищує масштаб атаки у вересні.

Технічна еволюція та руйнівне навантаження

Листопадова ітерація містить кілька змін у порівнянні з атакою у вересні.
Тепер шкідливе ПЗ створює репозиторії з випадково згенерованими іменами для вкрадених даних замість використання жорстко закодованих назв, що ускладнює їх видалення.

Код налаштування встановлює Bun через setup_bun.js перед виконанням основного навантаження у bun_environment.js, який містить логіку черв’яка та процедури ексфільтрації облікових даних.

Найбільш руйнівне нововведення: якщо шкідливе ПЗ не може автентифікуватися у GitHub або npm за допомогою вкрадених облікових даних, воно видаляє всі файли у домашній директорії користувача.

Аналіз Aikido виявив помилки виконання, які обмежили поширення атаки. Код, що пакує повний черв’як у нові пакети, іноді не включає bun_environment.js, залишаючи лише скрипт встановлення Bun без шкідливого навантаження.

Попри ці збої, початкові компрометації вразили цільові об’єкти з величезним подальшим впливом.

Пакети AsyncAPI домінували у першій хвилі, із 36 скомпрометованими релізами, включаючи @asyncapi/cli, @asyncapi/parser та @asyncapi/generator.

PostHog був наступним о 4:11 AM UTC із зараженими версіями posthog-js, posthog-node та десятками плагінів. Пакети Postman з’явилися о 5:09 AM UTC.

Компрометація Zapier торкнулася @zapier/zapier-sdk, zapier-platform-cli та zapier-platform-core, а компрометація ENS — @ensdomains/ensjs, @ensdomains/ens-contracts та ethereum-ens.

Створення гілок GitHub свідчить про доступ на рівні репозиторію

Команда AsyncAPI виявила шкідливу гілку у своєму CLI-репозиторії, створену безпосередньо перед тим, як скомпрометовані пакети з’явилися у npm.

Гілка містила розгорнуту версію шкідливого ПЗ Shai-Hulud, що свідчить про те, що зловмисник отримав права на запис у сам репозиторій, а не просто викрав токени npm.

Ця ескалація відображає техніку, використану в оригінальній компрометації Nx, коли зловмисники модифікували вихідні репозиторії для впровадження шкідливого коду у легітимні пайплайни збірки.

Aikido оцінює, що зараз 26 300 репозиторіїв GitHub містять вкрадені облікові дані з описом “Sha1-Hulud: The Second Coming”.

Репозиторії містять секрети, які були відкриті середовищами розробників, що запускали скомпрометовані пакети, включаючи облікові дані хмарних сервісів, токени CI/CD та ключі автентифікації для сторонніх API.

Публічний характер витоків підсилює шкоду: будь-який зловмисник, який відстежує репозиторії, може збирати облікові дані у реальному часі та запускати вторинні атаки.

Час атаки та заходи протидії

Час збігається з оголошенням npm від 15 листопада про відкликання класичних токенів автентифікації 9 грудня.

Вибір зловмисника запустити фінальну масштабну кампанію перед дедлайном свідчить, що він усвідомлював, що вікно для компрометації на основі токенів закривається. Хронологія Aikido показує, що перша хвиля Shai-Hulud почалася 16 вересня.

“Second Coming” 24 листопада є останньою можливістю зловмисника використати застарілі токени перед тим, як міграція npm перекриє цей доступ.

Aikido рекомендує командам безпеки провести аудит усіх залежностей із постраждалих екосистем, особливо пакетів Zapier, ENS, AsyncAPI, PostHog та Postman, встановлених або оновлених після 24 листопада.

Організаціям слід змінити всі секрети GitHub, npm, хмарних сервісів та CI/CD, які використовувалися у середовищах із цими пакетами, а також шукати у GitHub репозиторії з описом “Sha1-Hulud: The Second Coming”, щоб визначити, чи були розкриті внутрішні облікові дані.

Вимкнення скриптів npm postinstall у CI-пайплайнах запобігає майбутньому виконанню під час встановлення, а фіксація версій пакетів за допомогою lock-файлів обмежує вплив нових скомпрометованих релізів.

Публікація Malicious worm compromises crypto domains in supply-chain attack вперше з’явилася на CryptoSlate.