Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Sha1-Hulud: Второе пришествие — атака на цепочку поставок

2
4 мин
Возрождение червя Shai‑Hulud, получившего новое имя «Sha1‑Hulud: Второе пришествие», привело к крупной атаке на цепочку поставок, затронувшей более 70 пакетов npm. В течение первых пяти часов после обнаружения злоумышленники создали свыше 16 000 публичных репозиториев на GitHub, содержащих украденные учетные данные разработчиков. Инцидент демонстрирует сохраняющиеся уязвимости в экосистеме JavaScript и требует немедленной реакции со стороны команд безопасности и разработчиков. «Атака использует отложенное выполнение и скрытность, чтобы избежать немедленного обнаружения разработчиками», — отмечают специалисты StepSecurity. Несмотря на то, что сгенерированный discussion.yaml выполняется в автономной среде (что ограничивает его доступ к правильно настроенным репозиториям), сам факт массового создания рабочих процессов и размещения крупных запутанных payload’ов увеличивает шанс успешного обхода базовых мер защиты. Большой размер полезной нагрузки и сложная обфускация делают анализ и быстро
Оглавление

Возрождение червя Shai‑Hulud, получившего новое имя «Sha1‑Hulud: Второе пришествие», привело к крупной атаке на цепочку поставок, затронувшей более 70 пакетов npm. В течение первых пяти часов после обнаружения злоумышленники создали свыше 16 000 публичных репозиториев на GitHub, содержащих украденные учетные данные разработчиков. Инцидент демонстрирует сохраняющиеся уязвимости в экосистеме JavaScript и требует немедленной реакции со стороны команд безопасности и разработчиков.

Суть атаки

  • Вредоносный код обладает развитой самораспространяющейся логикой и сложной техникой уклонения от обнаружения.
  • Возможности эксплойта включают полезную нагрузку размером более 10 МБ под именем bun_environment.js, которая сильно запутана, что затрудняет обратное проектирование.
  • Вредоносное ПО намеренно задерживает полное выполнение, переходя в фон, чтобы инсталляция выглядела нормальной для разработчика, а затем инициирует процесс сбора и удаления конфиденциальной информации.
  • Атака генерирует файл рабочего процесса GitHub Actions с именем discussion.yaml в скомпрометированных репозиториях, используя его восприимчивость к внедрению скриптов для создания вредоносных потоков выполнения.
  • За первые 5 часов злоумышленники создали более 16 000 публичных репозиториев, в которых оказались украденные учетные данные — это указывает на быстрый темп распространения и широкий удар по поставкам.
«Атака использует отложенное выполнение и скрытность, чтобы избежать немедленного обнаружения разработчиками», — отмечают специалисты StepSecurity.

Техническая картина: почему это опасно

Несмотря на то, что сгенерированный discussion.yaml выполняется в автономной среде (что ограничивает его доступ к правильно настроенным репозиториям), сам факт массового создания рабочих процессов и размещения крупных запутанных payload’ов увеличивает шанс успешного обхода базовых мер защиты. Большой размер полезной нагрузки и сложная обфускация делают анализ и быстрое реагирование более трудозатратными. Компрометация учетных данных разработчиков и массовые публичные репозитории создают долгосрочные риски — от несанкционированных публикаций до дальнейшего распространения вредоноса по цепочке зависимостей.

Рекомендации по нейтрализации и защите

Эксперты советуют незамедлительно выполнить комплекс действий по устранению последствий и минимизации риска повторной компрометации:

  • Полностью удалить каталог node_modules в пораженных проектах.
  • Очистить кэш npm (например, с помощью команды npm cache clean --force), чтобы исключить использование закешированных вредоносных артефактов.
  • Обновить файл package-lock.json или equivalent lock-файлы, чтобы исключить ссылки на вредоносные версии пакетов, и затем переустановить зависимости, устанавливая только проверенные и безопасные версии.
  • Провести ротацию всех потенциально скомпрометированных секретов и токенов, найденных в репозиториях и в CI/CD.
  • Исключить или тщательно проверить недавно выпущенные версии зависимостей: внедрить проверку восстановления NPM (NPM recovery checks) и запретить автоматическое обновление на новые релизы до их безопасной оценки.
  • Проверить репозитории на наличие файлов рабочего процесса, наподобие discussion.yaml, и удалить подозрительные workflow-файлы; ограничить возможность самопубликации workflow неизвестными участниками.
  • Ограничить права токенов и установить принцип наименьших привилегий для CI/CD-агентов и интеграций.
  • Провести статический и динамический анализ кода и сканирование артефактов на предмет известных индикаторов компрометации.

Роль мониторинга и превентивных мер

StepSecurity подчёркивает важность постоянного мониторинга реестров пакетов и выпуска артефактов. Их инструмент Artifact Monitor позволяет обнаруживать несанкционированные публикации пакетов в разных реестрах и оповещать команды о необычных схемах публикации. Регулярное наблюдение за паттернами релизов и своевременная сигнализация о аномалиях значительно сокращают время отклика и уменьшают риск дальнейшего взлома кода.

Вывод

Инцидент с «Sha1‑Hulud: Второе пришествие» показал, что цепочка поставок остается удобной целью для злоумышленников: отложенное выполнение, масштабные payload’ы и массовое создание репозиториев позволяют агрессорам быстро распространяться и красть креденшалы. Команды безопасности и разработчики должны срочно принять перечисленные меры, внедрить мониторинг релизов и ужесточить контроль за CI/CD, чтобы не допустить повторения атак подобного масштаба.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Sha1-Hulud: Второе пришествие — атака на цепочку поставок".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.