Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Атаки на цепочки поставок npm: Shai-Hulud, Nx и сбор токенов

3 мин
Недавние хакерские кампании против цепочек поставок npm выявили системные уязвимости во взаимодействии со сторонними репозиториями ПО и побудили AWS Security усилить меры реагирования. Ряд инцидентов — компрометация пакета Nx, червь Shai-Hulud и масштабная операция по сбору токенов — раскрыли методы злоумышленников и показали, какие шаги уже предприняты для защиты сервисов и сообщества разработчиков. В ходе атаки на Nx злоумышленники внедрили JavaScript-файл «telemetry.js», адаптированный для взаимодействия с инструментами командной строки generative AI. Основной целью было извлечение конфиденциальных конфигурационных файлов с GitHub. Однако попытки злоумышленников сгенерировать действительные access tokens оказались безуспешными, и им не удалось получить компрометирующие данные. Этот инцидент не только выявил конкретную векторную технику — использование модифицированных скриптов в доверённых пакетах — но и продемонстрировал, как быстрые операции обнаружения и реагирования могут предот
Оглавление

Недавние хакерские кампании против цепочек поставок npm выявили системные уязвимости во взаимодействии со сторонними репозиториями ПО и побудили AWS Security усилить меры реагирования. Ряд инцидентов — компрометация пакета Nx, червь Shai-Hulud и масштабная операция по сбору токенов — раскрыли методы злоумышленников и показали, какие шаги уже предприняты для защиты сервисов и сообщества разработчиков.

Компромисс пакета Nx: цель — конфиденциальные конфигурации

В ходе атаки на Nx злоумышленники внедрили JavaScript-файл «telemetry.js», адаптированный для взаимодействия с инструментами командной строки generative AI. Основной целью было извлечение конфиденциальных конфигурационных файлов с GitHub. Однако попытки злоумышленников сгенерировать действительные access tokens оказались безуспешными, и им не удалось получить компрометирующие данные.

Этот инцидент не только выявил конкретную векторную технику — использование модифицированных скриптов в доверённых пакетах — но и продемонстрировал, как быстрые операции обнаружения и реагирования могут предотвратить утечку секретов.

Кампании Shai-Hulud: координация и масштаб

Серия атак под общим названием Shai-Hulud последовала вскоре после инцидента с Nx. Тактика злоумышленников заключалась в компрометации популярных и доверенных пакетов npm с целью заселения доверённых сред разработки вредоносным кодом.

  • Первоначальная волна затронула 18 доверенных пакетов.
  • Более масштабная первая стадия атаки нацелилась на ~180 пакетов.
  • В конце ноября была зафиксирована вторая волна — Shai-Hulud 2.

Эти скоординированные усилия подчёркивают стратегию злоумышленников: компрометация компонентов цепочки поставок для массового распространения вредоносного кода через доверённые артефакты.

Массовая кампания по сбору токенов и реакция сообщества

Отдельная кампания по сбору токенов выявила более 150 000 скомпрометированных пакетов npm. В ответ AWS Security запустило автоматическое реагирование: вредоносные пакеты были зарегистрированы в реестре вредоносных пакетов OpenSSF всего за 30 минут после обнаружения.

«Регистрация вредоносных пакетов в реестре OpenSSF в течение 30 минут расширила защиту не только для клиентов AWS, но и для всего сообщества разработчиков.»

Эта быстрая координация демонстрирует, насколько критично оперативное информирование и совместная работа отрасли для ограничения распространения угроз в экосистеме open source.

Уроки и рекомендации

Инциденты последнего времени подтолкнули AWS к усилению внутренних протоколов реагирования на инциденты и к доработке систем безопасности. Описанные атаки служат напоминанием о необходимости системного подхода к защите цепочек поставок программного обеспечения.

  • Приоритизировать безопасность цепочки поставок: проводить регулярный аудит зависимостей, использовать SBOM и мониторинг изменений в сторонних пакетах.
  • Управление секретами и токенами: минимизировать привилегии, регулярно ротировать токены, избегать хранения секретов в репозиториях.
  • Автоматизация обнаружения: внедрять сканеры на этапе CI/CD, интегрировать данные из реестров вредоносных пакетов (например, OpenSSF).
  • Изоляция и минимизация воздействия: применять принципы least privilege и сегментацию окружений разработки и деплоя.
  • Кооперация отрасли: оперативно обмениваться индикаторами компрометации и участвовать в централизованных реестрах угроз.

AWS рекомендует использовать продуманную платформу AWS и развивать стратегическую устойчивость, чтобы сократить риск воздействия подобных кампаний в будущем. Приоритетность безопасности в жизненном цикле разработки позволяет организациям лучше защититься от атак на цепочки поставок программного обеспечения.

В условиях роста атак на компоненты экосистемы npm единственным надёжным противодействием остаётся сочетание технических мер, оперативного обмена информацией и устойчивой организационной практики безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Атаки на цепочки поставок npm: Shai-Hulud, Nx и сбор токенов".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.