Mini Shai-Hulud атакует npm-пакеты Red Hat Cloud Services
Недавняя кампания Mini Shai-Hulud была направлена на пакеты npm в пространстве имен Red Hat Cloud Services. По данным отчета, злоумышленники скомпрометировали их для кражи конфиденциальной информации разработчиков и секретов CI/CD непосредственно в процессе установки.
Атака использует тактики, схожие с предыдущими угрозами, и делает особый акцент на выполнении вредоносного кода в момент установки, сборе учетных данных и распространении по цепочке поставок. Такой подход стал возможен благодаря новым открытым источникам атак, что повышает риск для экосистемы зависимостей.
Как работает атака
Затронутые npm-пакеты содержат зашифрованный полезный груз, который активируется через хук preinstall. Это позволяет вредоносному коду запускаться в процессе установки npm — до любого взаимодействия разработчика с пакетом.
После установки вредоносные пакеты используют JavaScript-загрузчик, который расшифровывает встроенную полезную нагрузку с помощью AES-128-GCM и динамически выполняет код из зашифрованного файла index.js. Такой метод скрывает вредоносные функции от статического анализа и подготавливает дополнительные действия по краже учетных данных и разведке.
Загрузчик работает автоматически до завершения установки, маскируясь под легитимную функциональность Red Hat Cloud Services.
Что именно собирает вредоносное ПО
Анализ полезного груза показал, что его основная цель — сбор высокоценных секретов, включая:
- токены GitHub Actions;
- токены npm;
- облачные учетные данные;
- SSH-ключи.
Кроме того, полезный груз оснащен зашифрованными возможностями эксфильтрации и резервным механизмом для использования GitHub в качестве дополнительного канала дальнейшей передачи данных.
Дополнительные возможности и закрепление в среде
ВПО использует сложные методы закрепления и проверки окружения. В частности, оно оценивает переменные систем CI/CD и средства защиты, что снижает вероятность обнаружения.
К заметным функциональным возможностям относятся:
- извлечение контейнерных образов;
- клонирование репозиториев;
- доступ к метаданным различных облачных провайдеров;
- доступ к службам управления секретами;
- попытки модифицировать рабочие процессы GitHub для укрепления присутствия в инфраструктуре.
Риски для организаций
Авторы отчета рекомендуют организациям внимательно отслеживать любую установку затронутых пакетов, особенно в системах CI/CD, поскольку вредоносное ПО нацелено на критически важные секреты автоматизации.
Если компрометация уже произошла, меры по сдерживанию не должны ограничиваться простым удалением пакетов. Необходимо:
- ротация всех скомпрометированных учетных данных;
- изоляция затронутых систем;
- анализ журналов на наличие следов атаки;
- усиление контроля за CI/CD и управлением зависимостями.
Рекомендации по защите
Для снижения подобных рисков в будущем эксперты советуют применять следующие практики:
- использование белого списка зависимостей;
- обеспечение целостности файлов блокировки;
- генерацию Software Bill of Materials (SBOM) для мониторинга подозрительных изменений в пакетах;
- внимательный анализ поведения во время выполнения, чтобы выявлять вредоносную активность в скомпрометированных пакетах.
В условиях, когда атаки на цепочку поставок становятся все более изощренными, именно постоянная проверка зависимостей и контроль над процессами CI/CD остаются ключевыми мерами защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
