Shai-Hulud hücumu npm ekosistemində ciddi təhlükə yaradır

Son bir neçə həftə ərzində npm açıq mənbəli ekosistemini hədəfə alan ciddi bir təhlükə aşkar edilib. Shai-Hulud adlı zərərli proqram, milyonlarla həftəlik yüklənmə sayı olan məşhur npm paketlərinə daxil olaraq gizli məlumatları oğurlamaq üçün xüsusi olaraq hazırlanmış bir solucan kimi tanınır.

Hücumun mahiyyəti və yayılma mexanizmi

ReversingLabs şirkətinin verdiyi məlumata görə, zərərli kod, komprometə edilmiş npm inkişafçı hesablarından istifadə edərək digər paketləri hədəfə alır. Bu paketlərə özünü daxil edərək yeni versiyalar yaradır. Hər yeni yaradılmış paket, istifadəçilər tərəfindən yükləndikdə, zərərli "bundle.js" skriptini işə salan bir postinstall əməliyyatı ilə dəyişdirilir. Solucan bu mexanizmi istifadə edərək daha çox inkişafçıya yayılır və bu proses davamlı şəkildə təkrarlanır.

Hədəfə alınan məlumatlar

Bundle.js skripti, npm, GitHub, AWS və GCP tokenlərini oğurlamaq üçün hazırlanmışdır. Eyni zamanda, TruffleHog adlı açıq mənbəli aləti quraşdıraraq 800-dən çox gizli məlumatı aşkar edə bilir. GitHub tokenlərini tapdıqda, hücumçu "Shai-Hulud" adlı yeni bir açıq GitHub repositoriyası yaradır və qurbanın məlumatlarını ora yerləşdirir. Bundan əlavə, GitHub Actions iş axınlarını dəyişdirərək məlumatları xüsusi URL-lərə göndərir.

Hücumun digər bir funksiyası, qurbanın xüsusi GitHub repositoriyalarını açıq repositoriyalara çevirməkdir. Bu, həmin repositoriyalarda saxlanılan gizli kodlara və ya mənbə kodlarına çıxış əldə etmək məqsədini güdür. Bu mənbə kodları, gələcək hücumlarda istifadə edilə biləcək zəiflikləri aşkar etmək üçün analiz edilə bilər.

Hücumun miqyası və təsiri

ReversingLabs şirkəti, bu kampaniya nəticəsində 700-dən çox qurbanın xüsusi repositoriyalarının açıq vəziyyətə gətirildiyini bildirib. Hücumun "s1ngularity" adlı əvvəlki bir təchizat zənciri hücumu ilə əlaqəsi olduğu güman edilir. Bu hücumda GitHub tokenlərinin oğurlanması geniş miqyaslı məlumat sızmalarına səbəb olmuşdu.

Təhlükəsizlik tövsiyələri

JFrog təhlükəsizlik şirkəti, Shai-Hulud tərəfindən təsirlənmiş hər hansı bir paketi quraşdıranlara gizli məlumatlarının oğurlandığını qəbul etməyi və bütün tokenləri dəyişdirməyi tövsiyə edir. Xüsusilə GitHub, npm, AWS, GCP və Azure tərəfindən verilmiş tokenləri yeniləmək vacibdir. TruffleHog vasitəsilə aşkar edilə bilən məlumatlar da nəzərə alınmalıdır.

Nəticə

Shai-Hulud hücumu, npm ekosisteminə yönəlmiş ciddi bir təhlükə kimi ortaya çıxır. İnkişafçılar və təşkilatlar, təhlükəsizlik tədbirlərini gücləndirərək bu cür hücumlara qarşı mübarizə aparmalıdırlar. Gizli məlumatların sızmasının qarşısını almaq üçün proaktiv yanaşma vacibdir.