Ши Хулуд, що охоплює екосистему JavaScript... самостійно поширюється через npm

Малюючи на екосистему розробки JavaScript, шкідливий код “пісочний черв'як(Shai Hulud)” безперервно еволюціонує, рівень атак на мережу постачання програмного забезпечення було підтверджено як підвищений. Останні аналізи показують, що цей шкідливий код перевищив попередній рівень простого проникнення в окремі пакети, здатний перетворити розробників на несвідомі та постійно поширюючі інфекцію посередники, має автоматизовану систему розповсюдження.

Згідно з публічним звітом компанії з безпеки Expel, нещодавно виявлений варіант черв'яка має структуру, здатну автоматично інфікувати середовище розробників та повторно розповсюджуватися через npm-реєстр, яким вони керують. Цей шкідливий код на етапі установки виконує заражений вірусом npm пакет, здійснюючи інфекцію в два етапи. По-перше, якщо в цільовому середовищі не встановлено “Bun” JavaScript-runtime, він буде автоматично встановлений; потім, через складно замасковане навантаження, у фоновому режимі спонукає до крадіжки облікових даних, витоку даних та повторного зараження.

Цей варіант особливо варто відзначити тим, що його спосіб збору облікових даних є дуже витонченим. Він використовує прямий доступ до систем управління секретами основних хмарних інфраструктур, таких як AWS Secrets Manager, Microsoft Azure Key Vault, Google Cloud Secret Manager, щоб додатково витягувати чутливі дані. Підтверджено, що він також повністю збирає NPM токени публікації, облікові дані GitHub і навіть хмарні ключі в самій локальній системі. Інструмент, що використовується в цьому процесі, - це TruffleHog, що є інструментом для автоматичного пошуку зашитих секретних даних з вихідного коду, конфігураційних файлів, записів Git тощо.

Найтиповіша тактика піщаних черв'яків полягає в зловживанні інфраструктурою GitHub. На відміну від попередніх способів з'єднання шкідливого коду з командним контролем (C2) серверів, цей шкідливий код завантажує вкрадену інформацію до відкритих репозиторіїв і реєструє заражені пристрої як самостійні виконавці GitHub Actions. Це дозволяє зовнішнім особам постійно здійснювати віддалений доступ, а зловмисники використовують облікові записи заражених розробників як зброю, щоб ввести шкідливий код в інші пакети та розширити дію зараження шляхом автоматичної повторної реєстрації змінених версій до npm.

Згідно з доповіддю, на даний момент, за оцінками, інфікованих репозиторіїв більше 25 тисяч, а постраждалих пакетів — кілька сотень. Серед них є популярні інструменти, які також широко використовуються в спільноті з відкритим вихідним кодом.

Expel через цей випадок попереджає, що “рівень довіри” безпеки програмного забезпечення в мережі постачання більше не є безпечною зоною. Хоча піщана черв'як атакував екосистему JavaScript, Python(PyPI), Ruby(RubyGems), PHP(Composer) та інші мовні спільноти з подібною основою довіри також можуть бути піддані подібним атакам. Поява автономного саморозповсюдження шкідливого коду для екосистеми розробницьких інструментів може в майбутньому призвести до більш тривалих і широких загроз, на які потрібно звертати увагу.