跳转到帖子
【正规项目】招聘一个线上会内网渗透的,和能一起做项目的,开发漏洞扫描项目。联系飞机@APTs37

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

Shai-Hulud供应链攻击再升级 数百款知名npm包遭恶意篡改

WCCEO
WCCEO
世界黑客新闻动态

精选回复

发布于

在新一轮Shai-Hulud供应链攻击中,攻击者向npm仓库(Node Package Manager)植入了数百个被恶意篡改的知名软件包,涉及Zapier、ENS Domains、PostHog、Postman等热门项目。

这些恶意软件包上传到npm平台,核心目的是窃取开发者凭证和持续集成/持续部署(CI/CD)密钥。被盗数据将以编码形式自动上传到GitHub。截至本文发表,GitHub 上已检索到27,600 条与本次攻击相关的记录条目。

Shai-Hulud_npm_27k.jpg

GitHub 存储库的秘密在新的Shai-Hulud 行动中被盗

Shai-Hulud 恶意软件于9 月中旬首次出现在npm 生态系统中,当时它通过自我传播的有效负载感染了187 个软件包,并使用TruffleHog 工具窃取开发人员密钥。攻击手段为:自动下载合法软件包,修改package.json文件注入恶意脚本,然后通过被盗的维护者账号将被篡改的包重新发布到npm。

Aikido Security(一个专注于开发人员安全的平台)的恶意软件研究员Charlie Eriksen 早些时候发现了这一新一轮的攻击。 —— 最初检测到105 个带有Shai-Hulud 签名的恶意篡改包。从那时起,仅根据软件包名称,该数字已增加到492 个。研究人员随后发出预警,指出本次供应链攻击中被盗的密钥已泄露给GitHub。

但攻击规模仍在呈指数级扩大,目前恶意包数量超过27000个。云安全平台Wiz 的研究人员发现,攻击者总共使用了约350 个独立维护者帐户,并透露“在过去的几个小时内,每30 分钟就会创建1000 个新存储库”。

GitHub 上这些存储库的存在实际上表明使用恶意npm 包并在环境中存储GitHub 凭据的开发人员设备已受到损害。

CI/CD安全公司Step Security对新版Shai-Hulud恶意软件的技术分析表明,其恶意负载主要存在于两个文件中:一个是setup_bun.js,这是一个伪装成Bun安装程序的恶意dropper;另一个是bun_environment.js,文件大小为10MB。

Step Security 指出,该文件使用了“极端代码混淆技术”,例如包含数千条记录的大型十六进制编码字符串、反分析循环和混淆函数来提取代码中的所有字符串。

该恶意软件的攻击流程分为五个阶段,包括窃取密钥(GitHub和npm令牌、AWS、GCP、Azure等云平台的凭证),以及破坏性步骤——覆盖受害者的整个主目录。

为自部署软件提供保护解决方案的公司Koi Security 的统计数据显示,如果包括同一软件包的所有受感染版本,Shai-Hulud 已影响了800 多个npm 软件包。

研究人员证实,新的Shai-Hulud 变种的破坏性步骤只有在满足四个特定条件时才会触发:当恶意软件无法通过GitHub 身份验证、无法在GitHub 上创建存储库、无法获取GitHub 令牌或找不到npm 令牌时,它会删除用户的主目录。

据Wiz 称,恶意代码会收集开发人员和CI/CD 密钥,并将其上传到名称包含Shai-Hulud 徽标的GitHub 存储库。恶意代码仅在包预安装阶段执行,并创建以下四个文件:cloud.json、contents.json、environment.json、truffleSecrets.json。被盗密钥将上传到自动生成的GitHub存储库,这些存储库的描述统一为“Shai-Hulud: The Second Coming”。

Shai-Hulud_compromised-GitHub.jpg

GitHub 帐户托管沙丘行动的存储库

此外,攻击者似乎已经获得了一些GitHub 帐户的控制权,目前正在使用这些帐户创建包含上述四个文件的存储库。

虽然GitHub会在攻击者创建存储库后立即删除该存储库,但攻击者创建新存储库的速度非常快,并且很难完全拦截。

Aikido Security 发现的186 个感染新版Shai-Hulud 恶意软件的软件包中,有多个来自Zapier、ENS Domains、PostHog 和AsyncAPI 的软件包。其中,被篡改的Zapier包是构建Zapier集成功能的官方工具包,对于Zapier开发者至关重要;而ENS Domains相关包是一个被钱包、去中心化应用程序(DApps)、交易所和ENS Manager应用程序广泛使用的工具库。主要用于处理.eth域名(例如将域名解析为以太坊地址、关联IPFS内容、验证域名有效性以及与官方ENS智能合约交互)。

目前,所有被篡改的包仍然可以在npm上下载,但在某些情况下,npm平台会弹出“未经授权发布最新版本”的警告消息,这表明平台的自动审核机制检测到异常。

npm.jpg

npm 上的警告消息

研究人员建议开发人员:获取受感染软件包的完整列表,将所有软件包降级为安全版本,并立即更换密钥和CI/CD 令牌。

Wiz研究人员建议安全团队首先识别受感染的软件包并将其替换为合法版本,并敦促企业替换与npm、GitHub和云服务提供商相关的所有凭证。

Aikido Security 还建议开发者如果条件允许,在持续集成过程中禁用npm 的postinstall(安装后)脚本。

值得注意的是,Shai-Hulud 卷土重来的背景是在npm 平台遭遇多次高影响力的供应链攻击之后。 GitHub 已经引入了额外的安全措施来防止此类攻击,但这些措施仍在逐步实施中。

转到主题列表

最近浏览 0

  • 没有会员查看此页面。