Атака червя Shai-Hulud на экосистему npm и 180 пакетов

Атака active software supply chain, идентифицированная как червь Shai-Hulud, нацелена на экосистему npm и затронула более 180 пакетов. По данным расследования, злоумышленники использовали сложную кампанию фишинга credential-harvesting, чтобы ввести разработчиков в заблуждение и заставить их обновить данные для входа в систему с поддержкой MFA. Получив доступ к учетным записям, атакующие развернули самовоспроизводящуюся вредоносную нагрузку, действующую как червь, и инициировали многоэтапную цепочку атак.

Как работает атака

Расследование выявило несколько ключевых этапов атаки:

• Фишинговые сообщения и ложные подсказки заставляли разработчиков обновлять параметры входа и, в ряде случаев, предоставлять данные для обхода MFA;
• После получения контроля злоумышленники внедряли исполняемые скрипты, которые обладали свойствами самовоспроизводимости и распространялись через публикации и обновления пакетов;
• Анализ кода указывает на использование передовых методов разработки вредоносных модулей — в том числе на возможное привлечение больших языковых моделей (LLM) для генерации или помощи при написании кода: об этом свидетельствует стиль комментариев в bash-скриптах, найденных в атакующих модулях;
• Дальнейшие этапы включали попытки эксплуатировать скомпрометированные учетные записи для доступа к CI/CD, облачным инфраструктурам и сторонним сервисам.

«Стиль комментариев в скрипте bash указывает на возможное участие LLM в создании вредоносного кода», — отмечают аналитики.

Потенциальные последствия для организаций

Кража учетных данных из скомпрометированных аккаунтов разработчиков представляет серьезную угрозу и может привести к следующим инцидентам:

• компрометация облачных аккаунтов (AWS, Azure, GCP) и кража данных из облачных хранилищ;
• внедрение программ-вымогателей, удаление или повреждение производственных сред;
• развертывание криптомайнеров и других вредоносных нагрузок;
• прямая кража баз данных и конфиденциальной информации;
• захват сторонних сервисов для последующих фишинговых кампаний;
• перемещение по сети (lateral movement) с использованием скомпрометированных SSH-ключей.

Что следует сделать немедленно

Эксперты рекомендуют предпринять следующие срочные шаги для минимизации рисков:

• сменить все учетные данные разработчиков: токены доступа npm, токены личного доступа GitHub (PATs), SSH-ключи и любые связанные секреты;
• обеспечить и строго контролировать применение MFA во всех учетных записях разработчиков и CI/CD сервисах;
• провести тщательный аудит зависимостей проектов: проверить файлы package-lock.json и yarn.lock на наличие неожиданных или скомпрометированных пакетов;
• проверить безопасность аккаунтов GitHub: искать несанкционированные репозитории, подозрительную активность в workflows и любые неизвестные интеграции;
• проверить и отозвать скомпрометированные секреты и ключи, пересмотреть доступы сервисных аккаунтов в облаках;
• активировать мониторинг и расследование инцидентов: логи CI/CD, артефакты сборок и журналы публикаций пакетов должны быть проанализированы на предмет следов компрометации.

Инструменты и подходы для долгосрочной защиты

Для защиты от подобных атак используются сочетания поведенческих методов обнаружения угроз и машинного обучения. Кроме того, аналитики рекомендуют рассмотреть интеграцию следующих инструментов в цепочку безопасности:

• системы поведенческого детектирования угроз и EDR;
• модели и сервисы анализа сборок и артефактов (включая Advanced WildFire model для статического/динамического анализа);
• платформы управления безопасностью облаков, такие как Prisma Cloud, для обнаружения уязвимостей в CI/CD и защитных политик;
• регулярные ревью зависимостей, автоматизированные сканеры supply chain и проверка подписей пакетов.

Контекст и вывод

Червь Shai-Hulud — это заметная эскалация продолжающихся угроз, направленных на сообщество open source-разработчиков и экосистему npm. После предыдущих инцидентов, связанных с кражей учетных данных и фишинговыми кампаниями, текущая атака демонстрирует рост сложности и автоматизации вредоносных действий — вплоть до возможного применения LLM для разработки вредоносного кода.

Ключевые факторы защиты остаются неизменными: бдительность, быстрое реагирование и внедрение многоуровневой безопасности на уровне учетных записей, CI/CD и облачной инфраструктуры. Только сочетание технических мер, процессов и постоянного мониторинга сможет снизить риск повторного использования скомпрометированных компонентов экосистемы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.