សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
សុវត្ថិភាពកុំព្យូទ័រ CrowdStrike, Shai-Hulud, និងការផុតកំណត់នៃ CISA 2015:...

CrowdStrike, Shai-Hulud, និងការផុតកំណត់នៃ CISA 2015: ហេតុអ្វីបានជាសហរដ្ឋអាមេរិកមិនអាចដេកនៅលើការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី

ដោយ Sandos ក្នុង សុវត្ថិភាពកុំព្យូទ័រ
បកប្រែទៅ៖

តារាង​មាតិកា

ខ្សែសង្វាក់ដែលផុយស្រួយជួបនឹងច្បាប់ផុយស្រួយ

ចំណងជើងសុវត្ថិភាពនៃឆ្នាំ 2025 ត្រូវបានគ្របដណ្ដប់ដោយក្រុមជនខិលខូច ransomware ការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលជំរុញដោយ AI និងយុទ្ធនាការលួចស្តាប់ភូមិសាស្ត្រនយោបាយ។ ប៉ុន្តែនិន្នាការកាន់តែស្ងប់ស្ងាត់ កាន់តែអាក្រក់កំពុងកើតឡើងនៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់នៃពិភពប្រភពបើកចំហរ ជាពិសេសនៅក្នុងប្រព័ន្ធអេកូ JavaScript npm។

រលកចុងក្រោយនៃការវាយប្រហារដែលត្រូវបានដាក់ជាក្រុមក្រោមឈ្មោះ "Shai-Hulud" បានសម្របសម្រួលកញ្ចប់ npm រាប់សិប រួមទាំងការបោះពុម្ពផ្សាយក្រោម ឈ្មោះ CrowdStrike ។ ការពិតតែមួយគត់គួរតែរោទិ៍៖ នៅពេលដែលសត្រូវអាចបំពុលកញ្ចប់ដែលទាក់ទងនឹងអ្នកលក់សុវត្ថិភាពតាមអ៊ីនធឺណិតដែលអាចស្គាល់បានបំផុតមួយរបស់ពិភពលោក ការជឿទុកចិត្តលើប្រព័ន្ធអេកូសូហ្វវែរគឺស្ថិតនៅក្នុងហានិភ័យ។

ហើយនេះកំពុងលាតត្រដាងប្រឆាំងនឹងផ្ទៃខាងក្រោយគោលនយោបាយដ៏សំខាន់មួយ៖ ការផុតកំណត់ដែលមិនទាន់សម្រេចនៃ ច្បាប់ចែករំលែកព័ត៌មានសុវត្ថិភាពតាមអ៊ីនធឺណិតឆ្នាំ 2015 (CISA 2015) នៅចុងខែកញ្ញា។ CISA 2015 គាំទ្រការចែករំលែកដោយស្ម័គ្រចិត្ត និងការទទួលខុសត្រូវចំពោះសូចនាករនៃការសម្របសម្រួល (IOCs) រវាងវិស័យឯកជន និងទីភ្នាក់ងារសហព័ន្ធ។ ប្រសិនបើវាបរាជ័យ អាមេរិកនឹងព្យាយាមប្រឈមមុខនឹងការវាយប្រហារតាមបែប Shai-Hulud ដោយដៃម្ខាងចងនៅពីក្រោយខ្នង។

យុទ្ធនាការ Shai-Hulud: កាយវិភាគសាស្ត្រនៃការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់

1. ការសម្របសម្រួលដំបូង

អ្នកវាយប្រហារបានជ្រៀតចូលគណនី npm ដែលភ្ជាប់ទៅនឹងកញ្ចប់ស្របច្បាប់ (ខ្លះជាកម្មសិទ្ធិរបស់អ្នកថែទាំបុគ្គល ខ្លះទៀតស្ថិតនៅក្រោមឈ្មោះរបស់អង្គការ)។ តាមរយៈការកែប្រែ package.json និងបង្កប់ឯកសារព្យាបាទដែលមានឈ្មោះ bundle.js ពួកគេបានបំប្លែងគម្រោងដែលគួរឱ្យទុកចិត្ត។

2. Payload: The Bundle.js Implant

ការផ្សាំមិនមែនជាមេរោគ “script kiddie” ងាយយល់នោះទេ។ វា​ប្រតិបត្តិ​កិច្ចការ​ស្វ័យ​ប្រវត្តិ​ជាក់លាក់​មួយ​ចំនួន៖

  • ការប្រមូលផលថូខឹន ៖ ស្វែងរកបរិយាកាសម៉ាស៊ីនសម្រាប់អាថ៌កំបាំងដូចជា NPM_TOKEN GITHUB_TOKEN AWS_ACCESS_KEY_ID និង AWS_SECRET_ACCESS_KEY
  • ការដាក់ពង្រាយឧបករណ៍ ៖ ទាញយក និងដំណើរការ TruffleHog ដែលជាឧបករណ៍ប្រើប្រាស់ប្រភពបើកចំហដែលជាធម្មតាត្រូវបានប្រើប្រាស់ដើម្បីស្កេនឃ្លាំងសម្រាប់អាថ៌កំបាំងលេចធ្លាយ។ នៅទីនេះវាត្រូវបានរៀបចំឡើងវិញដោយវាយលុកដើម្បីបោសសំអាតប្រព័ន្ធមូលដ្ឋាន។
  • ការផ្ទៀងផ្ទាត់ ៖ ធ្វើឱ្យមានសុពលភាពថូខឹនដែលបានប្រមូលផលដោយអនុវត្តសំណើ API ទម្ងន់ស្រាល ដើម្បីបញ្ជាក់អត្តសញ្ញាណណាមួយដែលសកម្ម។
  • ភាពស្ថិតស្ថេរតាមរយៈ CI/CD ៖ បង្កើត ឬកែប្រែថតឯកសារ .github/workflows ដើម្បីបញ្ចូល លំហូរការងាររបស់ GitHub ដែលមានគំនិតអាក្រក់ — ជាញឹកញាប់មានឈ្មោះថា shai-hulud.yamlshai-hulud-workflow.yml ។ លំហូរការងារទាំងនេះអាចបញ្ចេញអាថ៌កំបាំងឡើងវិញក្នុងអំឡុងពេលដំណើរការ CI/CD នាពេលអនាគត។
  • Exfiltration : ផ្ញើលិខិតសម្គាល់ដែលបានលួច និងលទ្ធផលទៅកាន់ hardcoded endpoints webhook ដែលជារឿយៗត្រូវបានគ្រប់គ្រងតាមរយៈហេដ្ឋារចនាសម្ព័ន្ធដែលអាចចោលបាន។

    • 3. ការបន្តពូជ

    ដោយសារតែកញ្ចប់ npm មានទំនាក់ទំនងគ្នាយ៉ាងស៊ីជម្រៅ សូម្បីតែការសម្របសម្រួលតែមួយក៏អាចកាត់បន្ថយបានដែរ។ កំណែព្យាបាទត្រូវបានបញ្ចូលទៅក្នុងបញ្ជីឈ្មោះ npm និងចែកចាយដោយស្វ័យប្រវត្តិដល់អ្នកអភិវឌ្ឍន៍ដែលបានធ្វើបច្ចុប្បន្នភាព ឬដំឡើងភាពអាស្រ័យ។ នេះ​មាន​ន័យ​ថា​គម្រោង​រាប់​ពាន់​នៅ​ខាងក្រោម​អាច​ទាញ​កូដ​ពុល​ដោយ​អចេតនា។

    ឧប្បត្តិហេតុពណ៌តូច កាលពីដើមខែកញ្ញាបង្ហាញពីហានិភ័យ។ បណ្ណាល័យនោះ ( @ctrl/tinycolor ) ត្រូវបានទាញយករាប់លានដងក្នុងមួយសប្តាហ៍។ នៅពេលដែលវាត្រូវបានសម្របសម្រួលជាមួយនឹងបន្ទុក Shai-Hulud កញ្ចប់ទឹកខាងក្រោមជាង 40 ត្រូវបានបំពុល។

    4. CrowdStrike Namespace រំលោភបំពាន

    ការរកឃើញដ៏គួរឱ្យព្រួយបារម្ភបំផុតនោះគឺថាកញ្ចប់ដែលបានបោះពុម្ពនៅក្រោម @crowdstrike npm namespace ក៏ត្រូវបានសម្របសម្រួលផងដែរ។ Socket.dev បានកំណត់អត្តសញ្ញាណកំណែពុលរាប់សិប ដែលខ្លះបានចេញផ្សាយនៅក្នុងការផ្ទុះយ៉ាងលឿនរវាង ថ្ងៃទី 14-16 ខែកញ្ញា ឆ្នាំ 2025 ។

    ខណៈពេលដែលមិនមានភ័ស្តុតាងដែលថារចនាសម្ព័ន្ធផ្ទៃក្នុងផ្ទាល់ខ្លួនរបស់ CrowdStrike ត្រូវបានរំលោភបំពាន កេរ្តិ៍ឈ្មោះ និងប្រព័ន្ធមានផលប៉ះពាល់យ៉ាងធ្ងន់ធ្ងរ៖

    • អ្នកអភិវឌ្ឍន៍រំពឹងថាកន្លែងដាក់ឈ្មោះរបស់អ្នកលក់ដូចជា @crowdstrike នឹងត្រូវបានបំពាក់ដោយដែក។
    • កន្លែងដាក់ឈ្មោះពុលបំផ្លាញទំនុកចិត្តមិនត្រឹមតែនៅក្នុងអ្នកលក់ប៉ុណ្ណោះទេ ប៉ុន្តែនៅក្នុង npm ខ្លួនឯង។
    • មារសត្រូវយល់យ៉ាងច្បាស់អំពីអំណាចនិមិត្តសញ្ញា និងជាក់ស្តែងនៃការសម្របសម្រួលបែបនេះ។

    សូចនាករបច្ចេកទេស និងការសង្កេត

    ដើម្បីបញ្ជាក់បន្ថែមទៀត សញ្ញាសម្គាល់បច្ចេកទេសខាងក្រោមបានកើតចេញពីការវិភាគនៃកញ្ចប់ Shai-Hulud៖

    • ឯកសារព្យាបាទ : bundle.js , index.js (បានកែប្រែដើម្បីហៅកញ្ចប់) បានបញ្ចូលឯកសារលំហូរការងារនៅក្នុង .github/workflows/ .
    • Workflow payloads ៖ ជាធម្មតាមានជំហានដើម្បីបង្រួបបង្រួមអាថ៌កំបាំង និង POST ទៅកាន់ webhooks របស់អ្នកវាយប្រហារ។
    • ការប្រើប្រាស់ឡើងវិញនូវ Hash ៖ សញ្ញា SHA-256 ដូចគ្នាបេះបិទនៃឯកសារ bundle.js នៅទូទាំងកញ្ចប់ជាច្រើន ដោយបញ្ជាក់ពីការសម្របសម្រួលយុទ្ធនាការ។
    • ចំណុចបញ្ចប់នៃការចម្រាញ់ ៖ Webhooks បង្ហោះនៅលើវេទិកាទំនិញ (ឧ. ការមិនចុះសម្រុង, Slack incoming webhooks ឬសេវាកម្មពពកបណ្តោះអាសន្ន)។
    • គំរូនៃការបោះពុម្ពផ្សាយ ៖ ការផ្ទុះនៃកំណែកញ្ចប់រាប់សិបដែលបានបោះពុម្ពផ្សាយក្នុងរយៈពេលប៉ុន្មាននាទី ស្របជាមួយនឹងឧបករណ៍ស្វ័យប្រវត្តិជាជាងការបោះពុម្ពដោយដៃ។

      • សូចនករទាំងនេះមិនគ្រាន់តែជារឿងខ្លីខាងកោសល្យវិច្ច័យប៉ុណ្ណោះទេ។ ពួកគេគូសបញ្ជាក់អំពីស្វ័យប្រវត្តិកម្ម និងវិន័យរបស់មារសត្រូវ — នេះគឺជាយុទ្ធនាការដែលត្រូវបានរចនាឡើងសម្រាប់ ទំហំ មិនមែនការពិសោធន៍ទេ។

      ហេតុអ្វីបានជាការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់មានគ្រោះថ្នាក់ខ្លាំង

      ការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ឆ្លងកាត់បរិវេណខាងក្រៅ។ ជំនួសឱ្យការទម្លុះជញ្ជាំងភ្លើង ពួកគេព្យាយាមចូលទៅក្នុងការអាប់ដេតកម្មវិធី និងបណ្ណាល័យដែលអាចទុកចិត្តបាន ដែលស្ថាប័នពឹងផ្អែកលើប្រចាំថ្ងៃ។

      • មាត្រដ្ឋាននៃការឈានទៅដល់ ៖ ការសម្របសម្រួលកញ្ចប់ npm តែមួយដូចជា tinycolor ឬចន្លោះឈ្មោះរបស់ស្ថាប័នដូចជា @crowdstrike អាចមានសក្តានុពលបង្ហាញប្រព័ន្ធខាងក្រោមរាប់ពាន់។
      • Trust hijack : អ្នកអភិវឌ្ឍន៍ទុកចិត្តលើអ្នកគ្រប់គ្រងកញ្ចប់។ ការអាប់ដេតពុលត្រូវបានដំឡើងដោយស្វ័យប្រវត្តិ។
      • ការបំបាំងកាយ និងការតស៊ូ ៖ តាមរយៈការបង្កប់នូវដំណើរការការងាររបស់ GitHub Actions ព្យាបាទ អ្នកវាយប្រហារធានានូវការបណ្តេញចេញម្តងទៀត សូម្បីតែបន្ទាប់ពីកំណែព្យាបាទដើមត្រូវបានដកចេញក៏ដោយ។

      នេះជាមូលហេតុដែលការវាយប្រហារដូចជា Shai-Hulud មានសារៈសំខាន់ជាយុទ្ធសាស្ត្រ៖ ពួកគេបង្វែរយន្តការនៃការអភិវឌ្ឍន៍កម្មវិធីទំនើប - អ្នកគ្រប់គ្រងកញ្ចប់ បំពង់បង្ហូរ CI/CD ភាពអាស្រ័យប្រភពបើកចំហ - ចូលទៅក្នុងផ្ទៃវាយប្រហារ។

      ហេតុអ្វីបានជាការផុតកំណត់នៃ CISA 2015 បង្កើនភាគហ៊ុន

      តួនាទីរបស់ CISA 2015

      ច្បាប់ចែករំលែកព័ត៌មានសុវត្ថិភាពតាមអ៊ីនធឺណិតឆ្នាំ 2015 បានបង្កើតក្របខ័ណ្ឌសម្រាប់អង្គភាពឯកជនដើម្បីចែករំលែកសូចនាករគំរាមកំហែងជាមួយ DHS (និងក្រោយមក CISA) ដោយគ្មានការទទួលខុសត្រូវ។ គោលដៅរបស់វា៖

      • ជំរុញការចែករំលែករហ័ស នៃ IOCs ទូទាំងវិស័យ។
      • ផ្តល់ការការពារទំនួលខុសត្រូវ សម្រាប់ក្រុមហ៊ុនដែលបង្ហាញសូចនាករដោយស្មោះត្រង់។
      • ធ្វើទ្រង់ទ្រាយបច្ចេកទេសស្តង់ដារ (STIX/TAXII) សម្រាប់ការផ្លាស់ប្តូរម៉ាស៊ីនដែលអាចអានបាន។

      ហានិភ័យនៃការផុតកំណត់

      ប្រសិន​បើ​ច្បាប់​នេះ​ផុត​កំណត់​នៅ​ចុង​ខែ​កញ្ញា៖

      1. ការចែករំលែកកាត់បន្ថយ ៖ អ្នកថែទាំ អ្នកចុះឈ្មោះ និងអ្នកលក់ដែលរងការវាយប្រហារដោយ Shai-Hulud អាចស្ទាក់ស្ទើរក្នុងការចែករំលែកព័ត៌មានលម្អិតដោយខ្លាចការប្តឹងតវ៉ា ឬបទប្បញ្ញត្តិត្រលប់មកវិញ។
      2. ការឆ្លើយតបដែលបែកខ្ញែក ៖ បើគ្មានការសម្របសម្រួលពីសហព័ន្ធទេ ការស៊ើបការណ៍សម្ងាត់លើការវាយប្រហារដែលកំពុងបន្តនឹងនៅស្ងៀមនៅទូទាំងអ្នកលក់ ឬអ្នកស្រាវជ្រាវម្នាក់ៗ។
      3. ការបន្ធូរបន្ថយយឺត ៖ ពេលវេលាមានសារៈសំខាន់ក្នុងការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់។ បើគ្មានក្របខណ្ឌរបស់ CISA ភាពយឺតយ៉ាវរវាងការរកឃើញ និងការការពារសហគមន៍អាចអូសបន្លាយយ៉ាងគ្រោះថ្នាក់។
      4. ការលុបបំបាត់ការជឿទុកចិត្ត ៖ មានការរង្គោះរង្គើដោយការសម្របសម្រួលកន្លែងឈ្មោះ CrowdStrike រួចហើយ សហគមន៍ប្រភពបើកចំហអាចកាន់តែមានភាពស្ទាក់ស្ទើរក្នុងការជឿទុកចិត្តលើការចុះបញ្ជីកណ្តាលដែលអវត្តមានការឆ្លើយតបដ៏រឹងមាំ និងសម្របសម្រួលសហព័ន្ធឯកជន។

      អនុសាសន៍គោលនយោបាយ និងឧស្សាហកម្ម

      1. សកម្មភាពនីតិបញ្ញត្តិភ្លាមៗ

      សភាគួរតែ បន្ត ឬបន្ត CISA 2015 មុនពេលខែកញ្ញាបញ្ចប់។ ការខកខានក្នុងការធ្វើដូច្នេះនឹងផ្តល់សញ្ញាដល់សត្រូវថា សហរដ្ឋអាមេរិកកំពុងធ្វើឱ្យខ្លួនមានភាពតានតឹងក្នុងការប្រឈមមុខនឹងការកើនឡើងហានិភ័យតាមអ៊ីនធឺណិត។

      2. Registry Hardening

      npm, PyPI, RubyGems និងការចុះឈ្មោះផ្សេងទៀតត្រូវការការការពារខ្លាំងជាងនេះ៖

      • ការផ្ទៀងផ្ទាត់ពហុកត្តាចាំបាច់ សម្រាប់អ្នកបោះពុម្ពផ្សាយ។
      • ការរកឃើញភាពមិនប្រក្រតី ដោយស្វ័យប្រវត្តិសម្រាប់ការផ្ទុះការបោះពុម្ពផ្សាយមិនធម្មតា។
      • ការចុះហត្ថលេខាលើកូដ សម្រាប់កញ្ចប់ដែលបានបោះពុម្ពផ្សាយ។
      • ការត្រួតពិនិត្យភស្តុតាងនៃកញ្ចប់ ដែលបានបង្កប់នៅក្នុងប្រព័ន្ធ CI/CD ។

      3. ការការពារកន្លែងលក់ឈ្មោះ

      អ្នកលក់ដូចជា CrowdStrike គួរតែពិចារណា៖

      • កញ្ចក់ឯកជន នៃកញ្ចប់សាធារណៈដើម្បីការពារសហគ្រាសពីកំណែដែលត្រូវបានរំខាន។
      • ការត្រួតពិនិត្យជាបន្តបន្ទាប់សម្រាប់ការលួចយកឈ្មោះលំហ។
      • បង្ហាញជាសាធារណៈនូវសញ្ញា "ល្បី" សម្រាប់ការចេញផ្សាយនីមួយៗ។

      4. សវនកម្មវិស័យឯកជន

      អង្គការគួរ៖

      • ខ្ទាស់ភាពអាស្រ័យទៅកំណែថេរ។
      • ត្រួតពិនិត្យលំហូរការងារ CI/CD សម្រាប់ការកែប្រែដែលគ្មានការអនុញ្ញាត។
      • បង្វិលព័ត៌មានសម្ងាត់ (សញ្ញាសម្ងាត់ npm, សញ្ញាសម្ងាត់ GitHub, គ្រាប់ចុចពពក) ភ្លាមៗប្រសិនបើមានការប៉ះពាល់។

      5. កិច្ចសហប្រតិបត្តិការសហព័ន្ធ-ឯកជន

      ទោះបីជា CISA កន្លងផុតទៅបណ្ដោះអាសន្នក៏ដោយ រចនាសម្ព័ន្ធ ad-hoc ត្រូវតែបំពេញចន្លោះប្រហោង៖

      • ការប្រឹក្សារួមគ្នារវាង CISA, Socket.dev, GitHub និង npm។
      • មតិព័ត៌មានតាមពេលវេលាពិតនៃសញ្ញាព្យាបាទ និងចំណុចបញ្ចប់។
      • ជំនួយផ្នែកហិរញ្ញវត្ថុ និងបច្ចេកទេសសម្រាប់អ្នកថែទាំប្រភពបើកចំហ (ជាញឹកញាប់អ្នកស្ម័គ្រចិត្តដែលមិនបានបង់ប្រាក់)។

      សេចក្តីសន្និដ្ឋាន៖ ការប៉ះទង្គិចនៃភាពទន់ខ្សោយ

      យុទ្ធនាការ Shai-Hulud បង្ហាញឱ្យឃើញថា ការវាយប្រហារតាមខ្សែសង្វាក់ផ្គត់ផ្គង់លែងជា "ករណីគែម" ទៀតហើយ - ពួកគេកំពុងក្លាយជាយុទ្ធសាស្ត្រសត្រូវស្តង់ដារ។ ការសម្របសម្រួលនៃកញ្ចប់នៅក្រោម ឈ្មោះ CrowdStrike គូសបញ្ជាក់ពីរបៀបដែលការជឿទុកចិត្តដ៏ផុយស្រួយនៅក្នុងប្រព័ន្ធអេកូបានក្លាយជា។

      ហើយខណៈពេលដែលការគំរាមកំហែងនេះកើនឡើង សហរដ្ឋអាមេរិកអាចអនុញ្ញាតឱ្យ CISA 2015 ផុតកំណត់ ដោយរុះរើរន្ទាផ្លូវច្បាប់ដែលអនុញ្ញាតឱ្យចែករំលែកព័ត៌មាន និងការឆ្លើយតបយ៉ាងឆាប់រហ័ស។

      មេរៀនគឺស្រឡះ៖ បើគ្មានការបន្តនីតិប្បញ្ញត្តិ និងកំណែទម្រង់ឧស្សាហកម្ម ហានិភ័យរបស់សហរដ្ឋអាមេរិកនឹងឈានចូលដល់យុគសម័យដ៏គ្រោះថ្នាក់បំផុតនៃការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់សូហ្វវែរនៅឡើយ ដែលជាកន្លែងមួយដែលសត្រូវកេងប្រវ័ញ្ចទាំងភាពងាយរងគ្រោះផ្នែកបច្ចេកទេស និងភាពខ្វះចន្លោះនៃគោលនយោបាយ។

      និយាយឱ្យខ្លី៖ កូដផុយស្រួយ + ច្បាប់ផុយស្រួយ = ហានិភ័យជាតិ។

      កំពុង​ផ្ទុក...