Атаки на цепочки поставок npm: Shai-Hulud, Nx и сбор токенов

Недавние хакерские кампании против цепочек поставок npm выявили системные уязвимости во взаимодействии со сторонними репозиториями ПО и побудили AWS Security усилить меры реагирования. Ряд инцидентов — компрометация пакета Nx, червь Shai-Hulud и масштабная операция по сбору токенов — раскрыли методы злоумышленников и показали, какие шаги уже предприняты для защиты сервисов и сообщества разработчиков.

Компромисс пакета Nx: цель — конфиденциальные конфигурации

В ходе атаки на Nx злоумышленники внедрили JavaScript-файл «telemetry.js», адаптированный для взаимодействия с инструментами командной строки generative AI. Основной целью было извлечение конфиденциальных конфигурационных файлов с GitHub. Однако попытки злоумышленников сгенерировать действительные access tokens оказались безуспешными, и им не удалось получить компрометирующие данные.

Этот инцидент не только выявил конкретную векторную технику — использование модифицированных скриптов в доверённых пакетах — но и продемонстрировал, как быстрые операции обнаружения и реагирования могут предотвратить утечку секретов.

Кампании Shai-Hulud: координация и масштаб

Серия атак под общим названием Shai-Hulud последовала вскоре после инцидента с Nx. Тактика злоумышленников заключалась в компрометации популярных и доверенных пакетов npm с целью заселения доверённых сред разработки вредоносным кодом.

  • Первоначальная волна затронула 18 доверенных пакетов.
  • Более масштабная первая стадия атаки нацелилась на ~180 пакетов.
  • В конце ноября была зафиксирована вторая волна — Shai-Hulud 2.

Эти скоординированные усилия подчёркивают стратегию злоумышленников: компрометация компонентов цепочки поставок для массового распространения вредоносного кода через доверённые артефакты.

Массовая кампания по сбору токенов и реакция сообщества

Отдельная кампания по сбору токенов выявила более 150 000 скомпрометированных пакетов npm. В ответ AWS Security запустило автоматическое реагирование: вредоносные пакеты были зарегистрированы в реестре вредоносных пакетов OpenSSF всего за 30 минут после обнаружения.

«Регистрация вредоносных пакетов в реестре OpenSSF в течение 30 минут расширила защиту не только для клиентов AWS, но и для всего сообщества разработчиков.»

Эта быстрая координация демонстрирует, насколько критично оперативное информирование и совместная работа отрасли для ограничения распространения угроз в экосистеме open source.

Уроки и рекомендации

Инциденты последнего времени подтолкнули AWS к усилению внутренних протоколов реагирования на инциденты и к доработке систем безопасности. Описанные атаки служат напоминанием о необходимости системного подхода к защите цепочек поставок программного обеспечения.

  • Приоритизировать безопасность цепочки поставок: проводить регулярный аудит зависимостей, использовать SBOM и мониторинг изменений в сторонних пакетах.
  • Управление секретами и токенами: минимизировать привилегии, регулярно ротировать токены, избегать хранения секретов в репозиториях.
  • Автоматизация обнаружения: внедрять сканеры на этапе CI/CD, интегрировать данные из реестров вредоносных пакетов (например, OpenSSF).
  • Изоляция и минимизация воздействия: применять принципы least privilege и сегментацию окружений разработки и деплоя.
  • Кооперация отрасли: оперативно обмениваться индикаторами компрометации и участвовать в централизованных реестрах угроз.

AWS рекомендует использовать продуманную платформу AWS и развивать стратегическую устойчивость, чтобы сократить риск воздействия подобных кампаний в будущем. Приоритетность безопасности в жизненном цикле разработки позволяет организациям лучше защититься от атак на цепочки поставок программного обеспечения.

В условиях роста атак на компоненты экосистемы npm единственным надёжным противодействием остаётся сочетание технических мер, оперативного обмена информацией и устойчивой организационной практики безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: