Шай Хулуд, охватывающий экосистему JavaScript... самостоятельно распространяется через npm

Нацеленный на экосистему разработки JavaScript вредоносный код “沙虫(Shai Hulud)” продолжает эволюционировать, уровень атак на программные Блокчейн поставок был подтвержден как значительно возросший. Последние анализы показывают, что этот вредоносный код уже превзошел уровень простого проникновения в отдельные пакеты и способен превращать разработчиков в бессознательные и постоянно распространяющие инфекции носители, обладая системой автоматического распространения.

Согласно отчету, опубликованному компанией по безопасности Expel, недавний вариант червя обладает способностью автоматически инфицировать среды разработчиков и повторно распространяться через управляемые ими реестры npm. Этот вредоносный код на этапе установки выполняет зараженные вирусом пакеты npm, заражая в два этапа. Сначала, если в целевой среде не установлен “Bun” JavaScript-движок, он будет автоматически установлен; затем, с помощью сложной замаскированной нагрузки, в фоновом режиме под诱дением происходит кража учетных данных, утечка данных и повторное заражение.

Особое внимание стоит уделить тому, что данный вариант использует очень изящный метод сбора учетных данных. Он напрямую обращается к системам управления секретами основных облачных инфраструктур, таким как AWS Secrets Manager, Microsoft Azure Key Vault и Google Cloud Secret Manager, для дополнительного извлечения конфиденциальных данных. Подтверждено, что он также полностью собирает токены публикации NPM, учетные данные GitHub и даже облачные ключи в самой локальной системе. Инструментом, используемым в этом процессе, является TruffleHog, который автоматически ищет жестко закодированную секретную информацию в исходном коде, конфигурационных файлах, записях Git и т.д.

Типичная тактика песчаных червей - злоупотребление инфраструктурой GitHub. В отличие от прежних способов подключения вредоносного кода к командному контролю (C2) серверов, этот вредоносный код загружает украденную информацию в открытые репозитории и регистрирует зараженные устройства как самохостинговые исполнители GitHub Actions. Это позволяет внешним пользователям постоянно осуществлять удаленный доступ, а злоумышленники используют учетные записи зараженных разработчиков в качестве оружия, чтобы внедрять вредоносный код в другие пакеты и расширять охват инфекции, автоматически повторно регистрируя измененные версии в npm.

По данным отчета, на сегодняшний день предполагается, что более 25 000 хранилищ были заражены, а количество затронутых пакетов составляет сотни. Среди них популярные инструменты, широко используемые в сообществе открытого программного обеспечения.

Expel через этот случай предупреждает, что “уровень доверия” безопасности программного обеспечения на поставках больше не является безопасной зоной. Хотя Sandworm атаковал экосистему JavaScript, другие языковые сообщества, такие как Python(PyPI), Ruby(RubyGems), PHP(Composer), имеющие аналогичную базу доверия, также могут быть подвержены аналогичным атакам. Появление самораспространяющегося вредоносного кода, нацеленного на экосистему инструментов разработки, может в будущем привести к более устойчивым и широкомасштабным угрозам, на которые следует обратить внимание.