СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:25
#Dev#ИБ#Облака

Атака на цепочку поставок: npm, GitHub Actions и Go

Согласно последним данным разведки, зафиксирована новая волна атак на цепочку поставок, связанных с семействами ВПО Mini Shai-Hulud, Miasma и Hades. Кампания нацелена сразу на несколько ключевых векторов разработки: пакеты npm, GitHub Actions и экосистему Go. По данным отчета, злоумышленники активно адаптируют инструменты и методы, чтобы обходить защитные механизмы и закрепляться в среде разработчиков.

Затронутые пакеты и точки распространения

В рамках кампании обнаружены вредоносные выпуски в нескольких пакетах npm. В частности, атака затронула проекты LeoPlatform и RStreams. Основной точкой распространения, по данным отчета, выступал аккаунт czirker. Кроме того, были опубликованы дополнительные вредоносные пакеты другим пользователем — llxlr.

Отдельно подчеркивается, что злоумышленники использовали методы отравления реестра npm, а также эксплуатационные приемы, позволяющие запускать скрытый код уже на этапе сборки пакета.

Как работает вредоносная нагрузка

Ключевой техникой стала установка файла binding.gyp. При установке скомпрометированного пакета npm автоматически выполняет команды, указанные в этом файле, что дает возможность скрытно запускать большой зашифрованный полезный груз на JavaScript.

Этот payload использует многоступенчатую схему сокрытия и дешифровки:

  • обфускацию JavaScript для затруднения анализа;
  • начальное шифрование в стиле ROT;
  • последующую дешифровку с использованием AES-GCM;
  • скрытное выполнение кода в процессе сборки.

По оценке исследователей, такой подход позволяет значительно усложнить обнаружение и анализ вредоносной активности.

Охота за секретами и злоупотребление GitHub Actions

Злоумышленники целенаправленно атакуют среды разработки, пытаясь собрать секреты в разных контекстах кода и CI. В числе приоритетных целей — токены GitHub, учетные данные облачных сервисов и иные конфигурационные данные, имеющие критическую ценность.

Отдельное внимание в кампании уделяется несанкционированному использованию GitHub Actions. ВПО применяет тактики злоупотребления workflow, которые позволяют публиковать пакеты или извлекать секреты из CI-исполнителей.

«Основной акцент делается на защите практик разработки и мониторинге конфигураций GitHub Actions для сдерживания распространения таких сложных атак на цепочку поставок».

Переход на Bun и попытки обойти защиту

Значимым этапом эволюции этой кампании стал переход к использованию Bun — более новой среды выполнения JavaScript. По данным отчета, это помогает злоумышленникам обходить некоторые традиционные средства защиты, которые менее внимательно отслеживают активность в среде Bun.

Таким образом, атака демонстрирует не просто использование вредоносных пакетов, а последовательную адаптацию к современным инструментам разработки и к тем ограничениям, на которых строятся многие защитные решения.

Связь с предыдущими инцидентами

Вредоносное ПО связывают с прежними атаками по операционным индикаторам, в том числе по маркеру RevokeAndItGoesKaboom. Этот признак используется как связующее звено между инцидентами на разных платформах.

Недавние выводы также расширили зону атаки за пределы npm — теперь она затрагивает и экосистему Go. В частности, были выявлены скомпрометированные модули в проекте Verana Blockchain.

Особенности атаки в экосистеме Go

Отдельно отмечается, что вредоносные загрузки в Go-среде опираются не на обычные процессы сборки Go, а на триггеры среды VS Code. Это указывает на сложную адаптацию к инструментам разработчиков и их рабочим процессам, а не на прямую эксплуатацию уязвимостей пакетного менеджера.

Такой подход делает кампанию особенно опасной: злоумышленники фокусируются не только на коде, но и на инфраструктуре разработки, где хранятся наиболее ценные секреты и автоматизированные процессы публикации.

Рекомендации по защите

Авторы отчета подчеркивают, что одних лишь действий по удалению затронутых версий пакетов недостаточно. Необходим широкий комплекс мер, включающий:

  • удаление скомпрометированных версий пакетов;
  • обширный forensic analysis репозиториев на предмет вредоносных изменений;
  • проверку и защиту всех учетных данных, которые могли быть раскрыты;
  • аудит конфигураций GitHub Actions;
  • усиление контроля за практиками разработки и CI-процессами.

По сути, речь идет о необходимости защищать не только конечные артефакты, но и весь жизненный цикл разработки — от исходного кода и workflow до механизмов публикации пакетов.

Вывод

Новая кампания подтверждает, что ландшафт угроз supply chain продолжает усложняться. Злоумышленники все глубже проникают в тонкости сред разработки, используют обфускацию, скрытые механизмы исполнения и новые runtime-среды, чтобы обходить защиту. В результате под ударом оказываются не только пакеты и модули, но и доверие к самой инфраструктуре разработки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: