据 Koi Security 报道,Shai-Hulud 恶意软件活动影响了多个维护者的数百个 npm 软件包,其中包括 @ctrl/tinycolor 等热门库以及 CrowdStrike 维护的一些软件包。恶意版本嵌入了一个木马脚本 (bundle.js),旨在窃取开发者凭证、泄露机密信息,并通过自动化工作流程驻留在存储库和端点中。Koi Security 创建了一个已识别为受感染的软件包列表,并承诺会“持续更新”(并显示了周二检测到的最后一个感染版本)。几乎所有受感染的软件包的状态都为“已从 NPM 中移除”。攻击者发布了 @ctrl/tinycolor 和其他 npm 软件包的恶意版本,并注入了一个会在安装过程中自动执行的大型混淆脚本 (bundle.js)。该有效载荷会重新打包并重新发布维护者项目,使恶意软件能够在无需开发者直接参与的情况下在相关软件包之间横向传播。结果,此次入侵迅速蔓延,超出了最初的切入点,不仅影响了广泛使用的开源库,还波及了 CrowdStrike 的 npm 软件包。注入的脚本执行凭证窃取和持久化操作。它运行 TruffleHog 扫描本地文件系统和存储库中的机密信息,包括 npm 令牌、GitHub 凭证以及 AWS、GCP 和 Azure 的云访问密钥。它还会写入一个隐藏的 GitHub Actions 工作流文件 (.github/workflows/shai-hulud-workflow.yml),该文件会在 CI/CD 运行期间泄露机密信息,确保即使在初始感染后也能长期访问。这种对端点机密窃取和后门的双重关注,使得 Shai-Hulud 成为迄今为止与以往入侵活动相比最危险的攻击活动之一。安全系统提供商 Sysdig 周二发布的一篇博客文章指出:“该恶意代码还试图通过公开私有存储库来泄露 GitHub 上的数据。” Sysdig 威胁研究团队 (TRT) 自发现该蠕虫病毒以来一直在监控其进展。由于响应时间短,新软件包被入侵的速度已显著放缓。当时几个小时内没有发现任何新软件包……他们的博客文章总结道:“供应链攻击的频率正在上升。监控第三方软件包的恶意活动比以往任何时候都更加重要。” Tom’s Hardware 提供的一些背景信息:需要明确的是:此次攻击活动与我们 9 月 9 日报道的那次事件不同,那次事件中,多个每周下载量达数十亿的 npm 软件包遭到入侵,其目的是窃取加密货币。两者的生态系统相同——攻击者显然已经意识到 GitHub 拥有的 Node.js 生态系统的 npm 软件包注册表是一个有价值的目标——但 Shai-Hulud 攻击活动的幕后黑手不仅仅是一些比特币。
在 Slashdot 上阅读更多内容。