Атаки на цепочки поставок npm: Shai-Hulud, Nx и сбор токенов
Недавние хакерские кампании против цепочек поставок npm выявили системные уязвимости во взаимодействии со сторонними репозиториями ПО и побудили AWS Security усилить меры реагирования. Ряд инцидентов — компрометация пакета Nx, червь Shai-Hulud и масштабная операция по сбору токенов — раскрыли методы злоумышленников и показали, какие шаги уже предприняты для защиты сервисов и сообщества разработчиков.
Компромисс пакета Nx: цель — конфиденциальные конфигурации
В ходе атаки на Nx злоумышленники внедрили JavaScript-файл «telemetry.js», адаптированный для взаимодействия с инструментами командной строки generative AI. Основной целью было извлечение конфиденциальных конфигурационных файлов с GitHub. Однако попытки злоумышленников сгенерировать действительные access tokens оказались безуспешными, и им не удалось получить компрометирующие данные.
Этот инцидент не только выявил конкретную векторную технику — использование модифицированных скриптов в доверённых пакетах — но и продемонстрировал, как быстрые операции обнаружения и реагирования могут предотвратить утечку секретов.
Кампании Shai-Hulud: координация и масштаб
Серия атак под общим названием Shai-Hulud последовала вскоре после инцидента с Nx. Тактика злоумышленников заключалась в компрометации популярных и доверенных пакетов npm с целью заселения доверённых сред разработки вредоносным кодом.
- Первоначальная волна затронула 18 доверенных пакетов.
- Более масштабная первая стадия атаки нацелилась на ~180 пакетов.
- В конце ноября была зафиксирована вторая волна — Shai-Hulud 2.
Эти скоординированные усилия подчёркивают стратегию злоумышленников: компрометация компонентов цепочки поставок для массового распространения вредоносного кода через доверённые артефакты.
Массовая кампания по сбору токенов и реакция сообщества
Отдельная кампания по сбору токенов выявила более 150 000 скомпрометированных пакетов npm. В ответ AWS Security запустило автоматическое реагирование: вредоносные пакеты были зарегистрированы в реестре вредоносных пакетов OpenSSF всего за 30 минут после обнаружения.
«Регистрация вредоносных пакетов в реестре OpenSSF в течение 30 минут расширила защиту не только для клиентов AWS, но и для всего сообщества разработчиков.»
Эта быстрая координация демонстрирует, насколько критично оперативное информирование и совместная работа отрасли для ограничения распространения угроз в экосистеме open source.
Уроки и рекомендации
Инциденты последнего времени подтолкнули AWS к усилению внутренних протоколов реагирования на инциденты и к доработке систем безопасности. Описанные атаки служат напоминанием о необходимости системного подхода к защите цепочек поставок программного обеспечения.
- Приоритизировать безопасность цепочки поставок: проводить регулярный аудит зависимостей, использовать SBOM и мониторинг изменений в сторонних пакетах.
- Управление секретами и токенами: минимизировать привилегии, регулярно ротировать токены, избегать хранения секретов в репозиториях.
- Автоматизация обнаружения: внедрять сканеры на этапе CI/CD, интегрировать данные из реестров вредоносных пакетов (например, OpenSSF).
- Изоляция и минимизация воздействия: применять принципы least privilege и сегментацию окружений разработки и деплоя.
- Кооперация отрасли: оперативно обмениваться индикаторами компрометации и участвовать в централизованных реестрах угроз.
AWS рекомендует использовать продуманную платформу AWS и развивать стратегическую устойчивость, чтобы сократить риск воздействия подобных кампаний в будущем. Приоритетность безопасности в жизненном цикле разработки позволяет организациям лучше защититься от атак на цепочки поставок программного обеспечения.
В условиях роста атак на компоненты экосистемы npm единственным надёжным противодействием остаётся сочетание технических мер, оперативного обмена информацией и устойчивой организационной практики безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



