Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Mini Shai-Hulud скомпрометировал npm-пакет intercom-client

4 мин
Компрометация npm-пакета intercom-client@7.0.4 стала очередным эпизодом в продолжающейся атаке, известной как червь Mini Shai-Hulud, нацеленной на секреты разработчиков и инфраструктуру CI/CD. По данным Socket Threat Research, вредоносная версия пакета содержит новые файлы, отсутствовавшие в предыдущем релизе 7.0.3, и запускает цепочку действий уже в момент установки. Команда Socket Threat Research подтвердила, что в intercom-client@7.0.4 появились два новых файла — setup.mjs и router_runtime.js. Именно они указывают на компрометацию пакета и использование механизма, который позволяет выполнить вредоносный код без участия разработчика. При установке версии 7.0.4 автоматически срабатывает preinstall-хук, который запускает setup.mjs. Далее скрипт загружает и выполняет непроверенный бинарный файл Bun с GitHub, обходя проверки целостности. Это делает атаку особенно опасной для сред, где пакеты устанавливаются автоматически. Файл router_runtime.js содержит обфусцированный JavaScript-код, пр
Оглавление

Компрометация npm-пакета intercom-client@7.0.4 стала очередным эпизодом в продолжающейся атаке, известной как червь Mini Shai-Hulud, нацеленной на секреты разработчиков и инфраструктуру CI/CD. По данным Socket Threat Research, вредоносная версия пакета содержит новые файлы, отсутствовавшие в предыдущем релизе 7.0.3, и запускает цепочку действий уже в момент установки.

Что обнаружили исследователи

Команда Socket Threat Research подтвердила, что в intercom-client@7.0.4 появились два новых файла — setup.mjs и router_runtime.js. Именно они указывают на компрометацию пакета и использование механизма, который позволяет выполнить вредоносный код без участия разработчика.

При установке версии 7.0.4 автоматически срабатывает preinstall-хук, который запускает setup.mjs. Далее скрипт загружает и выполняет непроверенный бинарный файл Bun с GitHub, обходя проверки целостности. Это делает атаку особенно опасной для сред, где пакеты устанавливаются автоматически.

Как работает вредоносная нагрузка

Файл router_runtime.js содержит обфусцированный JavaScript-код, предназначенный для сбора конфиденциальной информации. В числе целей атаки —:

  • учетные данные Kubernetes;
  • секреты Vault;
  • данные из переменных окружения;
  • информация из локальных файлов.

Похищенные данные шифруются и затем эксфильтрируются через GitHub API. Такой подход позволяет злоумышленникам скрывать следы и маскировать передачу украденной информации под обычную активность в экосистеме разработчиков.

Похожие признаки в прежних атаках

Исследователи отмечают, что методы, использованные в этой кампании, поразительно похожи на предыдущие инциденты. В частности, речь идет об атаке с пакетом lightning@2.6.2 из PyPI, где также применялись обфусцированный файл, сбор учетных данных и эксфильтрация через GitHub.

Такая схожесть может указывать на более широкую кампанию цепочки поставок, которая затрагивает не только npm, но и другие экосистемы. По оценке специалистов, компрометация intercom-client потенциально связана с ранее сообщавшимися инцидентами, включая атаки на другие пакеты, ассоциированные с активностью TeamPCP.

Кто находится в зоне риска

Под угрозой оказываются прежде всего разработчики и среды CI/CD, которые установили intercom-client@7.0.4. Опасность заключается в том, что вредоносная нагрузка выполняется именно в процессе установки — даже если пакет не используется напрямую в коде приложения.

Иными словами, достаточно одного попадания скомпрометированной зависимости в сборочный процесс, чтобы инфраструктура оказалась под риском утечки секретов и дальнейшего развития атаки.

Что рекомендуют специалисты

Пользователям, затронутым инцидентом, рекомендуется немедленно принять меры по снижению риска:

  • удалить скомпрометированный пакет;
  • понизить версию до безопасной;
  • изменить все потенциально скомпрометированные учетные данные;
  • провести тщательный аудит систем и процессов;
  • особенно внимательно проверить среды с секретами Kubernetes и GitHub.

Отдельный акцент следует сделать на мониторинге целостности пакетов и проверке процессов CI/CD, поскольку именно эта часть инфраструктуры чаще всего становится точкой входа при атаках на цепочку поставок.

Подозрительная активность вокруг инцидента

В ходе расследования была зафиксирована дополнительная подозрительная активность, связанная с этим эпизодом. Пользователь GitHub по имени nhur демонстрировал необычное поведение: быстро создавал репозитории и вносил изменения сразу в несколько из них за короткий промежуток времени.

Среди действий аккаунта отмечались коммиты, имитирующие стиль Dependabot, но содержащие ошибки в наименовании. Также были выявлены конфигурации, способные получать доступ к секретам репозитория и загружать их в виде артефактов. По данным расследования, аккаунт, выглядящий как скомпрометированный, инициировал рабочий процесс публикации CI, что и позволило доставить вредоносный npm-пакет.

Почему этот инцидент важен

Ситуация вокруг Mini Shai-Hulud еще раз показывает, насколько устойчивыми и адаптивными стали угрозы цепочки поставок. Злоумышленники все чаще используют доверие к популярным инструментам разработки, а также автоматизацию в CI/CD, чтобы получить доступ к секретам и инфраструктуре.

Текущее расследование продолжается. Эксперты изучают связи между инцидентами и их возможные последствия для разработчиков, подчеркивая, что регулярная проверка зависимостей, контроль целостности пакетов и аудит процессов сборки сегодня являются не просто рекомендацией, а необходимым условием безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Mini Shai-Hulud скомпрометировал npm-пакет intercom-client".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.