江蘇
關(guān)鍵詞
惡意軟件
GitLab 漏洞研究團(tuán)隊(duì)近日披露,一場(chǎng)針對(duì) npm 生態(tài)的大規(guī)模供應(yīng)鏈攻擊正在迅速擴(kuò)散。攻擊者投放的是進(jìn)化版本的 “Shai Hulud” 惡意程序,而這次出現(xiàn)的變種更加危險(xiǎn),因?yàn)樗恢踩肓恕八勒唛_關(guān)”機(jī)制——一旦攻擊者失去對(duì)自身基礎(chǔ)設(shè)施的控制,受感染系統(tǒng)就會(huì)被強(qiáng)制觸發(fā)數(shù)據(jù)銷毀。
整個(gè)攻擊鏈通過(guò)被污染的 npm 軟件包展開。當(dāng)開發(fā)者安裝受感染的包時(shí),會(huì)自動(dòng)執(zhí)行一個(gè)腳本,該腳本偽裝成下載合法的 Bun JavaScript 運(yùn)行時(shí),但實(shí)際獲取的是一個(gè)高度混淆、接近 10MB 的惡意可執(zhí)行文件。該程序一旦啟動(dòng),立即開始大規(guī)模竊取憑證,覆蓋范圍包括 GitHub 令牌、npm 授權(quán)密鑰,以及 AWS、Google Cloud、Microsoft Azure 等云服務(wù)賬戶。
為了進(jìn)一步擴(kuò)大竊取范圍,惡意程序還會(huì)下載并調(diào)用 Trufflehog 這類合法工具,掃描受害者整個(gè)用戶目錄中可能暴露 API Key 或密碼的配置文件。
隨著感染深入,惡意程序會(huì)利用被盜 npm 憑證自動(dòng)污染受害者名下所有軟件包。它會(huì)修改 package.json 文件加入惡意腳本、提升版本號(hào),并將篡改后的內(nèi)容重新發(fā)布回 npm,使感染呈指數(shù)級(jí)擴(kuò)散。被竊取的令牌會(huì)傳回攻擊者控制的 GitHub 倉(cāng)庫(kù),這些倉(cāng)庫(kù)被統(tǒng)一標(biāo)記為 “Sha1 Hulud The Second Coming”,形成一個(gè)去中心化的憑證共享網(wǎng)絡(luò),讓被攻陷的設(shè)備共同維持攻擊鏈條。
最具破壞性的部分在于其“終結(jié)機(jī)制”。一旦感染系統(tǒng)同時(shí)失去 GitHub 和 npm 的訪問(wèn)能力,惡意程序會(huì)立即執(zhí)行數(shù)據(jù)摧毀操作。Windows 設(shè)備會(huì)遭到用戶文件刪除及磁盤扇區(qū)覆蓋;Linux 和 macOS 系統(tǒng)則會(huì)被采用更高級(jí)的數(shù)據(jù)擦除方式,使恢復(fù)幾乎不可能。
這意味著如果 GitHub 清理惡意倉(cāng)庫(kù)、或 npm 撤銷被盜令牌,可能會(huì)在全球范圍觸發(fā)成千上萬(wàn)設(shè)備的同步數(shù)據(jù)毀滅,造成深遠(yuǎn)破壞。
GitLab 建議開發(fā)團(tuán)隊(duì)盡快啟用項(xiàng)目?jī)?nèi)的依賴掃描,以便在惡意包進(jìn)入生產(chǎn)環(huán)境前自動(dòng)檢測(cè)并阻斷。同時(shí),安全團(tuán)隊(duì)需密切關(guān)注異常的 npm preinstall 腳本以及依賴項(xiàng)中不尋常的版本號(hào)變動(dòng),以提前發(fā)現(xiàn)異常跡象。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
