СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
5 декабря
#ИБ

Shai Hulud 2.0: вредонос npm крадёт токены и уничтожает данные

В сентябре был зафиксирован новый вариант вредоносного ПО под названием Shai Hulud 2.0, распространяющийся через скомпрометированные пакеты npm. Эта версия примечательна ключевым нововведением — встроенной функцией «стеклоочистителя», а также расширенными возможностями по кражe учётных данных и саморепликации внутри экосистемы Node.js.

Кратко о механизме атаки

Начальная полезная нагрузка Shai Hulud 2.0 запускает скрипт setup_bun.js. По данным отчёта, этот скрипт намеренно оставлен нераскрытым и хорошо задокументированным, что служит прикрытием его истинного назначения — подготовить систему и создать среду выполнения для последующих вредоносных действий. Главные этапы поведения вредоноса:

  • Установка среды: скрипт проверяет наличие легитимного runtime Bun и при необходимости устанавливает его, создавая платформу для дальнейшего исполнения вредоносного кода.
  • Сбор секретов и учётных данных: Shai Hulud 2.0 активно ищет токены и ключи — сканируя переменные окружения в поисках GitHub access token и извлекая данные из конфигурации GitHub CLI. Обнаруженные токены используются для организации канала связи с общедоступным репозиторием на GitHub и эксфильтрации похищенных данных.
  • Саморепликация в экосистеме npm: вредоносный код встраивается в пакеты npm. Скрипт сканирует файлы конфигурации .npmrc в домашнем каталоге и текущем рабочем каталоге, и при нахождении токена авторизации для реестра npm использует его для распространения через публикации и обновления пакетов.
  • Деструктивная нагрузка (fallback): если вредоносу не удаётся получить действительные токены npm или GitHub и/или осуществить эксфильтрацию, он инициирует деструктивную полезную нагрузку — функцию очистки, систематически удаляющую пользовательские файлы, преимущественно из домашнего каталога.

Технические и практические последствия

Двойственная природа Shai Hulud 2.0 — способность одновременно красть учётные данные и стирать данные — подчёркивает несколько тревожных трендов в современной атакующей экосистеме:

  • атакующие используют легитимные платформы (GitHub, npm) как транспорт для эксфильтрации и распространения;
  • пониженная прозрачность постинсталляционных скриптов в пакетах остаётся серьёзной угрозой для цепочек поставок ПО;
  • компрометация CI/CD и реестров пакетов может привести к быстрому масштабированию заражения среди разработчиков и автоматических сборок.

Двойственная природа Shai Hulud 2.0 — его способность красть учетные данные и стирать данные — иллюстрирует меняющийся ландшафт угроз.

Как защищаться — практические рекомендации

Разработчикам и администраторам экосистемы Node.js стоит принять следующие меры для снижения рисков:

  • проверять и аудировать зависимости: контролировать postinstall-скрипты и содержимое пакетов перед установкой;
  • не хранить постоянные токены в открытых переменных окружения; использовать short-lived токены и секрет-менеджеры;
  • ограничить права токенов GitHub и npm по принципу least privilege, включить 2FA и использовать scoped tokens;
  • следить за конфигурациями .npmrc и исключать хранение регистрационных токенов в публичных или совместно используемых средах;
  • мониторить необычные коммиты и push’и в публичные репозитории, а также неожиданные публикации пакетов в реестры;
  • использовать sandbox/CI-изолирование при сборке и установке сторонних пакетов;
  • при подозрении на компрометацию — немедленно отозвать и сгенерировать новые токены, провести форензическую проверку и восстановление данных из резервных копий.

Вывод

Shai Hulud 2.0 демонстрирует эволюцию атак на цепочку поставок ПО: злоумышленники сочетают кражу учётных данных, использование легитимных сервисов для эксфильтрации и механизм «стеклоочистителя», чтобы причинить максимальный ущерб в случае неудачи с кражей секретов. Для разработки безопасной практики необходима комбинированная стратегия: контроль зависимостей, управление секретами, жёсткая сегментация прав и оперативный мониторинг активности в реестрах и репозиториях.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: