北京
近期發(fā)生的第二輪Shai-Hulud攻擊事件,在感染NPM(Node包管理器)倉(cāng)庫(kù)數(shù)百個(gè)軟件包后,導(dǎo)致約40萬(wàn)條原始敏感憑證泄露,且被盜數(shù)據(jù)被公開(kāi)至3萬(wàn)個(gè)GitHub代碼倉(cāng)庫(kù)中。
盡管開(kāi)源掃描工具TruffleHog僅驗(yàn)證出約1萬(wàn)條泄露憑證為有效狀態(tài),但云安全平臺(tái)Wiz的研究人員指出,截至12月1日,超過(guò)60%的泄露NPM令牌仍處于有效可用狀態(tài)。
從自傳播感染到破壞性.payload
Shai-Hulud威脅最早于9月中旬浮出水面,當(dāng)時(shí)攻擊者通過(guò)自傳播惡意載荷攻陷了187個(gè)NPM軟件包——該載荷會(huì)利用TruffleHog工具識(shí)別賬戶令牌,向軟件包中注入惡意腳本并自動(dòng)在平臺(tái)發(fā)布。
而在第二輪攻擊中,受惡意軟件影響的軟件包數(shù)量超800個(gè)(含同一軟件包的所有受感染版本),且惡意程序新增了破壞性機(jī)制:當(dāng)滿足特定條件時(shí),會(huì)清空受害者主機(jī)的主目錄。
泄露憑證的類型與分布
新 GitHub 賬戶在新倉(cāng)庫(kù)上發(fā)布機(jī)密信息的速度
Wiz研究人員對(duì)Shai-Hulud2.0攻擊擴(kuò)散至3萬(wàn)個(gè)GitHub倉(cāng)庫(kù)的憑證泄露數(shù)據(jù)展開(kāi)分析,發(fā)現(xiàn)泄露的敏感信息包含以下類型:
1. 約70%的倉(cāng)庫(kù)中存在contents.json文件,內(nèi)含GitHub用戶名、令牌及文件快照;
2. 半數(shù)倉(cāng)庫(kù)包含truffleSecrets.json文件,存儲(chǔ)了TruffleHog的掃描結(jié)果;
3. 80%的倉(cāng)庫(kù)存有environment.json文件,涵蓋操作系統(tǒng)信息、CI/CD元數(shù)據(jù)、NPM包元數(shù)據(jù)及GitHub身份憑證;
4. 400個(gè)倉(cāng)庫(kù)托管了actionsSecrets.json文件,包含GitHub Actions工作流密鑰。
該惡意軟件調(diào)用TruffleHog時(shí)未啟用-only-verified參數(shù),這意味著40萬(wàn)條泄露憑證僅符合已知格式規(guī)范,未必仍具備有效性或可使用性。
盡管這批憑證數(shù)據(jù)存在大量無(wú)效信息,需進(jìn)行大量去重工作,但其中仍包含數(shù)百條有效憑證,涵蓋云服務(wù)密鑰、NPM令牌及版本控制系統(tǒng)(VCS)身份憑證。截至目前,這些憑證已構(gòu)成供應(yīng)鏈進(jìn)一步遭襲的現(xiàn)實(shí)風(fēng)險(xiǎn),例如研究員監(jiān)測(cè)到超60%的泄露NPM令牌仍處于有效狀態(tài)。
感染設(shè)備與環(huán)境特征
對(duì)2.4萬(wàn)個(gè)environment.json文件的分析顯示,約半數(shù)文件為唯一實(shí)例,其中23%對(duì)應(yīng)開(kāi)發(fā)者本地設(shè)備,其余則來(lái)自CI/CD運(yùn)行器等基礎(chǔ)設(shè)施。
研究人員匯總的數(shù)據(jù)表明,87%的受感染設(shè)備為L(zhǎng)inux系統(tǒng),而76%的感染案例發(fā)生在容器環(huán)境中。
在CI/CD平臺(tái)分布方面,GitHub Actions占比遙遙領(lǐng)先,其次為Jenkins、GitLab CI及AWS CodeBuild。
受影響的CI/CD平臺(tái)
從感染對(duì)象來(lái)看,受影響最嚴(yán)重的軟件包為@postman/tunnel-agent@0.6.7和@asyncapi/specs@6.8.3,這兩款軟件包的感染量合計(jì)占所有感染案例的60%以上。
感染包的流行率
研究人員據(jù)此認(rèn)為,若能及早識(shí)別并管控這幾個(gè)核心軟件包,Shai-Hulud的攻擊影響本可大幅降低。此外,從感染模式來(lái)看,99%的感染實(shí)例均源于preinstall事件觸發(fā)的node setup_bun.js腳本執(zhí)行,極少數(shù)例外情況大概率為攻擊者的測(cè)試嘗試。
Wiz認(rèn)為,Shai-Hulud幕后攻擊者會(huì)持續(xù)優(yōu)化并演進(jìn)攻擊手段,且預(yù)計(jì)短期內(nèi)將出現(xiàn)更多攻擊波次,甚至可能利用已竊取的海量憑證發(fā)起新一輪攻擊。
參考及來(lái)源:https://www.bleepingcomputer.com/news/security/shai-hulud-20-npm-malware-attack-exposed-up-to-400-000-dev-secrets/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
以茶帶書
