CrowdStrike, Shai-Hulud и предстоящото изтичане на CISA 2015: Защо САЩ не могат да спят пред атаки срещу веригата за доставки на софтуер

До Sandos през Компютърна сигурностг

Превод на:

Съдържание

Крехките вериги срещат крехките закони

Заглавията за сигурността през 2025 г. бяха доминирани от банди за рансъмуер, киберзаплахи, задвижвани от изкуствен интелект, и геополитически хакерски кампании. Но по-тихата и по-коварна тенденция се наблюдава във веригите за доставки на света на отворения код - особено в екосистемата на JavaScript, базирана на npm.

Последната вълна от атаки, групирани под името „Shai-Hulud“ , компрометира десетки npm пакети, включително тези, публикувани под името CrowdStrike . Само този факт би трябвало да е тревога: когато злонамерените лица могат да „отровят“ пакети, свързани с един от най-разпознаваемите доставчици на киберсигурност в света, доверието в софтуерната екосистема е заложено на карта.

И това се развива на фона на критична политическа ситуация: предстоящото изтичане на срока на Закона за споделяне на информация за киберсигурност от 2015 г. (CISA 2015) в края на септември. CISA 2015 е в основата на голяма част от доброволното, защитено от отговорност споделяне на индикатори за компрометиране (IOC) между частния сектор и федералните агенции. Ако той изтече, САЩ ще се опитват да се изправят срещу атаки от типа „Шай-Хулуд“ с едната си ръка вързана зад гърба.

Кампанията Шай-Хулуд: Анатомия на атаката срещу веригата за доставки

1. Първоначален компромис

Атакуващите са проникнали в npm акаунти, свързани с легитимни пакети (някои принадлежащи на отделни разработчици, други под организационни пространства от имена). Чрез промяна на package.json и вграждане на злонамерен файл с име bundle.js , те са заразили иначе надеждни проекти.

2. Полезен товар: Имплантът Bundle.js

Имплантът не е фин зловреден софтуер тип „script kiddie“. Той изпълнява серия от прецизни, автоматизирани задачи:

Събиране на токени : Търси в хост средата тайни данни като NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID и AWS_SECRET_ACCESS_KEY .
Разгръщане на инструмента : Изтегля и стартира TruffleHog , помощна програма с отворен код, която обикновено се използва за сканиране на хранилища за изтекли тайни. Тук тя е използвана офанзивно за претърсване на локални системи.

Проверка : Валидира събраните токени, като изпълнява леки API заявки, за да потвърди кои идентификационни данни са активни.

Запазване чрез CI/CD : Създава или променя директории .github/workflows , за да вмъква злонамерени работни потоци с действия на GitHub — често наричани shai-hulud.yaml или shai-hulud-workflow.yml . Тези работни потоци могат да извлекат повторно секрети по време на бъдещи CI/CD изпълнения.

Изтичане : Изпраща откраднатите идентификационни данни и резултати до твърдо кодирани крайни точки на уеб куки, често контролирани чрез инфраструктура за еднократна употреба.

3. Размножаване

Тъй като npm пакетите са силно взаимосвързани, дори едно-единствено компрометиране може да се разпространи каскадно. Злонамерените версии са качени в npm регистрите и са разпространявани автоматично до разработчиците, които са актуализирали или инсталирали зависимости. Това означава, че хиляди проекти надолу по веригата може неволно да са изтеглили отровен код.

Инцидентът с tinycolor по-рано през септември илюстрира риска. Тази библиотека ( @ctrl/tinycolor ) се изтегля милиони пъти седмично. Когато беше компрометирана с полезния товар Shai-Hulud, над 40 низходящи пакета бяха отровени.

4. Пробив в пространството от имена на CrowdStrike

Най-тревожното откритие беше, че пакети, публикувани под пространството от имена @crowdstrike npm, също бяха компрометирани. Socket.dev идентифицира десетки заразени версии, някои от които бяха пуснати бързо между 14 и 16 септември 2025 г.

Въпреки че няма доказателства за нарушаване на вътрешната инфраструктура на CrowdStrike, репутационните и системни последици са сериозни:

Разработчиците очакват пространства от имена на доставчици като @crowdstrike да бъдат непоклатими.
Отровното пространство от имена подкопава доверието не само в доставчика, но и в самия npm.
Противниците ясно разбираха символичната и практическата сила на подобен компромис.

Технически индикатори и наблюдаеми величини

За да се обоснове това допълнително, от анализа на пакетите Шай-Хулуд се появиха следните технически маркери:

Злонамерени файлове : bundle.js , index.js (модифициран да извиква bundle), вмъкнати файлове на работния поток в .github/workflows/ .

Полезни товари на работния процес : Обикновено съдържат стъпки за curl secrets и POST към уеб кукички на атакуващия.

Повторно използване на хеш : Идентични SHA-256 хешове на bundle.js файлове в множество пакети, потвърждаващи координацията на кампанията.

Крайни точки за ексфилтрация : Уеб кукички, хоствани на стандартни платформи (напр. Discord, входящи уеб кукички на Slack или временни облачни услуги).

Модели на публикуване : Публикуване на десетки версии на пакети за минути, в съответствие с автоматизирани инструменти, а не с ръчно публикуване.

Тези индикатори не са просто криминалистични любопитни факти. Те подчертават автоматизацията и дисциплината на противника – това беше кампания, предназначена за мащаб , а не за експериментиране.

Защо атаките срещу веригата за доставки са толкова опасни

Атаките по веригата за доставки заобикалят външния периметър. Вместо да пробият защитните стени, те се промъкват вътре в надеждни софтуерни актуализации и библиотеки, на които организациите разчитат ежедневно.

Мащаб на обхват : Компрометирането на един npm пакет като tinycolor или организационно пространство от имена като @crowdstrike потенциално излага на риск хиляди низходящи системи.
Отвличане на доверие : Разработчиците по своята същност се доверяват на мениджърите на пакети; отровните актуализации се инсталират автоматично.
Стелт и постоянство : Чрез вграждане на злонамерени работни процеси на GitHub Actions, нападателят осигурява повтарящо се изтичане дори след премахването на оригиналната злонамерена версия.

Ето защо атаки като Shai-Hulud са стратегически важни: те превръщат самите механизми на съвременната разработка на софтуер – мениджъри на пакети, CI/CD конвейери, зависимости с отворен код – в повърхности за атака.

Защо изтичането на CISA 2015 повишава залозите

Ролята на CISA 2015

Законът за споделяне на информация за киберсигурност от 2015 г. установи рамки за частни субекти, които да споделят индикатори за заплаха с DHS (а по-късно и с CISA) без да поемат отговорност. Неговите цели:

Насърчаване на бързото споделяне на IOC между секторите.
Осигурете защита от отговорност за компаниите, които добросъвестно разкриват показатели.
Стандартизиране на техническите формати (STIX/TAXII) за машинночетим обмен.

Рискове от изтичане на срока на годност

Ако законът изтече в края на септември:

Намалено споделяне : Поддържащите, регистрите и доставчиците, засегнати от Shai-Hulud, може да се колебаят да споделят подробности от страх от съдебни дела или регулаторни мерки.
Фрагментиран отговор : Без федерална координация, разузнавателната информация за текущите атаки ще остане изолирана между отделни доставчици или изследователи.
По-бавно смекчаване : Времето е от решаващо значение при атаките по веригата за доставки. Без рамката на CISA, забавянето между откриването и защитата на общността може да се увеличи опасно.
Ерозия на доверието : Вече разтърсена от компромиса с пространството от имена на CrowdStrike, общността с отворен код може да стане още по-неохотна да се доверява на централните регистри, ако не се получи силен, координиран отговор от страна на федералното и частното правителство.

Препоръки за политики и индустрията

1. Незабавни законодателни действия

Конгресът трябва да поднови или удължи CISA 2015 преди края на септември. Ако това не се направи, това би сигнализирало на противниците, че САЩ се самоограничават пред лицето на ескалиращия киберриск.

2. Засилване на системния регистър

npm, PyPI, RubyGems и други регистри се нуждаят от по-силни предпазни мерки:

Задължително многофакторно удостоверяване за издателите.
Автоматизирано откриване на аномалии за необичайни изблици на публикуване.
Подписване на код за публикувани пакети.
Проверки за произход на пакети, вградени в CI/CD системи.

3. Защита на пространството от имена на доставчици

Доставчици като CrowdStrike трябва да обмислят:

Частни огледала на публични пакети за защита на предприятията от подправени версии.
Непрекъснато наблюдение за отвличане на имена.
Публично оповестени „известни като добри“ хешове за всяко издание.

4. Одити в частния сектор

Организациите трябва:

Закрепване на зависимости към фиксирани версии.
Одитирайте работните процеси на CI/CD за неоторизирани модификации.
Ротирайте идентификационните данни (npm токени, GitHub токени, облачни ключове) незабавно, ако бъдат разкрити.

5. Сътрудничество между федералния и частния сектор

Дори ако CISA временно отпадне, ad-hoc структури трябва да запълнят празнотата:

Съвместни препоръки между CISA, Socket.dev, GitHub и npm.
Източник на данни в реално време за злонамерени хешове и крайни точки.
Финансова и техническа подкрепа за поддържащите отворен код (често неплатени доброволци).

Заключение: Сблъсък на слабости

Кампанията Shai-Hulud доказва, че атаките срещу веригата за доставки вече не са „гранични случаи“ — те се превръщат в стандартна тактика на противника. Компрометирането на пакети под името CrowdStrike подчертава колко крехко е станало доверието в екосистемата.

И точно когато тази заплаха ескалира, САЩ може да позволят на CISA 2015 да изтече — демонтирайки правната основа, която позволява споделяне на информация и бърза реакция.

Урокът е ясен: без законодателно обновяване и реформа в индустрията, САЩ рискуват да навлязат в най-опасната досега ера на компрометиране на веригата за доставки на софтуер – такава, в която противниците се възползват както от техническите уязвимости, така и от политическите вакууми.

Накратко: крехък код + крехко право = национален риск.

Процесорът за плащане на EnigmaSoft Digital River GmbH Подаването на молба за несъстоятелност не оказва влияние върху защитата на клиентите на SpyHunter срещу зловреден софтуер

Търсене

Промяна на региона