СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:25
#Dev#ИБ#Облака

Shai Hulud атакует CI/CD: компрометация npm, PyPI и AWS


Shai Hulud: supply chain-атака через npm и PyPI привела к компрометации CI/CD и AWS-среды

Кампания по компрометации цепочки поставок Shai Hulud, связанная со злоумышленником TeamPCP, продемонстрировала, насколько уязвимыми остаются современные CI/CD-конвейеры и интеграции с облачными сервисами. По данным расследования, вредоносные пакеты, размещенные в репозиториях npm и PyPI, запускались либо при установке, либо во время выполнения задач CI и использовались для кражи критически важных секретов сборки.

Речь идет прежде всего о GitHub tokens, AWS credentials и Kubernetes secrets. Получив доступ к этим данным, злоумышленники смогли закрепиться в облачной инфраструктуре и расширить присутствие в целевой среде.

Как была построена атака

Вредоносная активность началась с отравленных зависимостей сборки, которые позволили атакующим проникнуть в производственную облачную инфраструктуру. Далее использовались стандартные инструменты и методологии, описанные в guidance Shai Hulud, включая повторное использование украденных учетных данных для развертывания дополнительных вредоносных пакетов.

В мае 2026 года в ходе расследований была также выявлена эксплуатация уязвимости в Jenkins CI/CD runner, что привело к повышению привилегий до уровня full cloud administrator и несанкционированному извлечению данных из Amazon Redshift.

Что делали злоумышленники внутри инфраструктуры

После получения первоначального доступа атакующие начали действовать по нескольким направлениям:

  • получали metadata экземпляра с скомпрометированного EC2 instance;
  • злоупотребляли ролью Jenkins для доступа к ресурсам AWS с внешних IP-адресов;
  • создавали нового пользователя IAM — cloudops-monitor — с административными привилегиями;
  • проводили network reconnaissance для выявления уязвимых компонентов облачной инфраструктуры;
  • манипулировали базами данных Amazon Aurora и Redshift;
  • пытались изменить access control и развернуть controlled by attacker security groups для закрепления в среде.

Отдельное внимание привлекло то, что злоумышленники пытались усилить контроль над инфраструктурой через изменение IAM-конфигурации и настройку групп безопасности, обеспечивающих широкий доступ к критическим ресурсам.

Эксфильтрация данных и признаки массового сбора информации

Операционная модель атаки включала несколько этапов persistence и exfiltration. Одним из наиболее заметных признаков стала активная работа с Redshift Data API: злоумышленники выполняли множество запросов к кластерам хранилищ данных, извлекая конфиденциальную информацию.

Характер активности указывал не на рутинную проверку, а на масштабный сбор данных. Высокий объем запросов и частота операций соответствовали паттернам, типичным для data theft, а не для стандартных административных действий.

Почему этот инцидент важен для безопасности CI/CD

Расследование подчеркнуло ключевую проблему: несанкционированное использование учетных данных, особенно когда AWS instance credentials применяются с внешних IP-адресов. Такой сценарий демонстрирует тесную связь между host-based threats и cloud threats, а также сложность обнаружения атак, если инфраструктура и приложения анализируются раздельно.

В этом контексте особенно важны автоматизированные решения вроде FortiCNAPP, способные коррелировать облачные события в единую картину и ускорять работу команд безопасности.

«Кампания Shai Hulud — это напоминание о том, что уязвимости в CI/CD и облачных интеграциях могут быстро привести к компрометации всей производственной среды».

Вывод

Кампания Shai Hulud показала, что компрометация цепочки поставок через npm и PyPI может стать входной точкой для глубокой атаки на облачную инфраструктуру. При наличии доверенных CI/CD-процессов, тесных интеграций с AWS и недостаточного контроля над секретами последствия могут включать повышение привилегий, несанкционированный доступ к базам данных и масштабную эксфильтрацию данных.

Для организаций это означает необходимость усиленного мониторинга, контроля зависимостей, защиты учетных данных и постоянной проверки действий, которые выходят за рамки обычного поведения CI/CD и облачных рабочих нагрузок.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: