Vairāku licenču atlaides piedāvājums
Datoru drošība CrowdStrike, Shai-Hulud un tuvojošās CISA 2015 termiņa...

CrowdStrike, Shai-Hulud un tuvojošās CISA 2015 termiņa beigas: kāpēc ASV nevar mierīgi gaidīt programmatūras piegādes ķēdes uzbrukumus

Līdz Sandos. gadam Datoru drošība. gadā
Tulkot uz:

Trauslas ķēdes atbilst trausliem likumiem

2025. gada drošības ziņu virsrakstos dominēja izspiedējvīrusu bandas, mākslīgā intelekta vadīti kiberdraudi un ģeopolitiskās hakeru kampaņas. Taču klusāka, mānīgāka tendence vērojama atvērtā pirmkoda pasaules piegādes ķēdēs, īpaši npm JavaScript ekosistēmā.

Jaunākais uzbrukumu vilnis, kas apvienots ar nosaukumu “Shai-Hulud” , ir apdraudējis desmitiem npm pakotņu, tostarp tās, kas publicētas CrowdStrike vārdtelpā . Jau vien šis fakts varētu radīt trauksmi: ja pretinieki var saindēt pakotnes, kas saistītas ar vienu no pasaulē atpazīstamākajiem kiberdrošības pārdevējiem, uz spēles ir likta uzticība programmatūras ekosistēmai.

Un tas notiek uz kritiska politiska fona: 2015. gada Kiberdrošības informācijas apmaiņas likuma (CISA 2015) termiņa beigām septembra beigās. CISA 2015 ir pamatā lielai daļai brīvprātīgas, ar atbildību aizsargātas kompromisa rādītāju apmaiņas (IOC) starp privāto sektoru un federālajām aģentūrām. Ja tas zaudēs spēku, ASV centīsies stāties pretī Šai-Huluda stila uzbrukumiem, vienu roku sasienot aiz muguras.

Šai-Huluda kampaņa: piegādes ķēdes uzbrukuma anatomija

1. Sākotnējais kompromiss

Uzbrucēji iefiltrējās npm kontos, kas bija saistīti ar likumīgām pakotnēm (dažas piederēja atsevišķiem uzturētājiem, citas - organizāciju vārdtelpās). Modificējot package.json failu un ieguldot tajā ļaunprātīgu failu ar nosaukumu bundle.js , viņi ar trojāni uzbruka citādi uzticamiem projektiem.

2. Derīgā slodze: Bundle.js implants

Implants nav smalka “script kiddie” ļaunprogrammatūra. Tā izpilda virkni precīzu, automatizētu uzdevumu:

  • Tokenu ievākšana : meklē resursdatora vidē tādus noslēpumus kā NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID un AWS_SECRET_ACCESS_KEY .
  • Rīka izvietošana : Lejupielādē un palaiž TruffleHog — atvērtā pirmkoda utilītu, ko parasti izmanto, lai skenētu krātuves, meklējot nopludinātus noslēpumus. Šeit tā tiek pārveidota, lai veiktu lokālo sistēmu pārbaudi.
  • Verifikācija : validē ievāktos tokenus, veicot vieglus API pieprasījumus, lai apstiprinātu, kuri akreditācijas dati ir aktīvi.
  • Noturība, izmantojot CI/CD : Izveido vai modificē .github/workflows direktorijus, lai ievietotu ļaunprātīgas GitHub Actions darbplūsmas , ko bieži sauc par shai-hulud.yaml vai shai-hulud-workflow.yml . Šīs darbplūsmas var atkārtoti izgūt noslēpumus turpmāko CI/CD palaišanas laikā.
  • Eksfiltrācija : Nosūta nozagtos akreditācijas datus un rezultātus uz cietkodā ierakstītiem tīmekļa āķu galapunktiem, kurus bieži kontrolē, izmantojot vienreizējās lietošanas infrastruktūru.

    • 3. Pavairošana

    Tā kā npm pakotnes ir cieši savstarpēji saistītas, pat viens apdraudējums var izplatīties kaskādes veidā. Ļaunprātīgās versijas tika augšupielādētas npm reģistros un automātiski izplatītas izstrādātājiem, kuri atjaunināja vai instalēja atkarības. Tas nozīmē, ka tūkstošiem lejupējo projektu varēja netīšām izgūt saindētu kodu.

    Tinycolor incidents septembra sākumā ilustrē risku. Šī bibliotēka ( @ctrl/tinycolor ) tiek lejupielādēta miljoniem reižu nedēļā. Kad tā tika apdraudēta ar Shai-Hulud lietderīgo slodzi, vairāk nekā 40 lejupējās pakotnes tika saindētas.

    4. CrowdStrike vārdtelpas pārkāpums

    Visbažīgākais atklājums bija tas, ka arī pakotnes, kas publicētas vārdtelpā @crowdstrike npm, bija apdraudētas. Socket.dev identificēja desmitiem saindētu versiju, dažas no tām tika izlaistas strauji laikā no 2025. gada 14. līdz 16. septembrim .

    Lai gan nav pierādījumu, ka CrowdStrike iekšējā infrastruktūra būtu nozagta, reputācijas un sistēmiskās sekas ir nopietnas:

    • Izstrādātāji sagaida, ka tādas pārdevēju vārdtelpas kā @crowdstrike būs dzelzs necaurlaidīgas.
    • Saindēta vārdtelpa grauj uzticību ne tikai pārdevējam, bet arī pašam npm.
    • Pretinieki skaidri saprata šāda kompromisa simbolisko un praktisko spēku.

    Tehniskie rādītāji un novērojamie rādītāji

    Lai to vēl vairāk pamatotu, no Shai-Hulud pakotņu analīzes izrietēja šādi tehniskie marķieri:

    • Ļaunprātīgi faili : bundle.js , index.js (modificēts, lai izsauktu bundle), ievietoti darbplūsmas faili failā .github/workflows/ .
    • Darbplūsmas lietderīgā slodze : parasti ietver darbības, lai saritinātu noslēpumus un nosūtītu POST uzbrucēja tīmekļa āķiem.
    • Jaucējkodu atkārtota izmantošana : Identiskas bundle.js failu SHA-256 jaucējkodu vērtības vairākās pakotnēs, kas apstiprina kampaņas koordināciju.
    • Eksfiltrācijas galapunkti : tīmekļa āķi, kas tiek mitināti patēriņa preču platformās (piemēram, Discord, Slack ienākošie tīmekļa āķi vai pagaidu mākoņpakalpojumi).
    • Publicēšanas modeļi : desmitiem pakotņu versiju, kas publicētas dažu minūšu laikā, izmantojot automatizētus rīkus, nevis manuālu publicēšanu.

      • Šie rādītāji nav tikai kriminālistikas sīkumi. Tie izceļ pretinieka automatizāciju un disciplīnu — šī bija kampaņa, kas paredzēta mēroga paplašināšanai, nevis eksperimentiem.

      Kāpēc piegādes ķēdes uzbrukumi ir tik bīstami

      Piegādes ķēdes uzbrukumi apiet ārējo perimetru. Tā vietā, lai ielauztos ugunsmūros, tie iekļūst uzticamajos programmatūras atjauninājumos un bibliotēkās, kurām organizācijas ikdienā paļaujas.

      • Sasniedzamības mērogs : Vienas npm pakotnes, piemēram, tinycolor , vai organizācijas vārdtelpas, piemēram, @crowdstrike , kompromitēšana potenciāli var pakļaut tūkstošiem pakārtoto sistēmu.
      • Uzticības pārtveršana : Izstrādātāji pēc būtības uzticas pakotņu pārvaldniekiem; saindēti atjauninājumi tiek instalēti automātiski.
      • Slepenība un noturība : ieguldot ļaunprātīgas GitHub Actions darbplūsmas, uzbrucējs nodrošina atkārtotu eksfiltrāciju pat pēc sākotnējās ļaunprātīgās versijas noņemšanas.

      Tāpēc tādi uzbrukumi kā Shai-Hulud ir stratēģiski nozīmīgi: tie pārvērš pašus mūsdienu programmatūras izstrādes mehānismus — pakotņu pārvaldniekus, CI/CD cauruļvadus, atvērtā pirmkoda atkarības — par uzbrukuma virsmām.

      Kāpēc CISA termiņa beigas 2015. gadā paaugstina likmes

      CISA 2015 loma

      2015. gada Kiberdrošības informācijas apmaiņas likums izveidoja sistēmu, saskaņā ar kuru privātas struktūras var bez saistībām dalīties ar apdraudējuma rādītājiem ar DHS (un vēlāk CISA). Tā mērķi:

      • Veicināt ātru IOC apmaiņu starp nozarēm.
      • Nodrošināt atbildības aizsardzību uzņēmumiem, kas labticīgi atklāj rādītājus.
      • Standartizēt tehniskos formātus (STIX/TAXII) mašīnlasāmai apmaiņai.

      Derīguma termiņa beigu riski

      Ja likums zaudē spēku septembra beigās:

      1. Ierobežota koplietošana : Uzturētāji, reģistri un pārdevēji, kurus skāris Shai-Hulud, var vilcināties dalīties ar informāciju, baidoties no tiesas prāvām vai regulatīvās ietekmes.
      2. Sadrumstalota reaģēšana : Bez federālās koordinācijas informācija par notiekošajiem uzbrukumiem paliks izolēta starp atsevišķiem pārdevējiem vai pētniekiem.
      3. Lēnāka mazināšana : Piegādes ķēdes uzbrukumos laiks ir kritiski svarīgs. Bez CISA sistēmas laika nobīde starp atklāšanu un kopienas aizsardzību varētu būt bīstami liela.
      4. Uzticības erozija : Jau tagad satricināta ar CrowdStrike vārdtelpas kompromisu, atvērtā pirmkoda kopiena varētu vēl vairāk negribēt uzticēties centrālajiem reģistriem, ja vien nebūs spēcīgas, koordinētas federālās un privātās sektora atbildes.

      Politikas un nozares ieteikumi

      1. Nekavējoties jāveic likumdošanas pasākumi

      Kongresam vajadzētu atjaunot vai pagarināt CISA 2015 darbību līdz septembra beigām. Ja tas netiks izdarīts, tas signalizētu pretiniekiem, ka ASV ierobežo savas iespējas pieaugošā kiberdrošības riska apstākļos.

      2. Reģistra nostiprināšana

      npm, PyPI, RubyGems un citiem reģistriem ir nepieciešami stingrāki drošības pasākumi:

      • Obligāta daudzfaktoru autentifikācija izdevējiem.
      • Automatizēta anomāliju noteikšana neparastiem publicēšanas uzliesmojumiem.
      • Koda parakstīšana publicētajām pakotnēm.
      • CI/CD sistēmās iegultas iepakojuma izcelsmes pārbaudes .

      3. Pārdevēja vārdtelpas aizsardzība

      Pārdevējiem, piemēram, CrowdStrike, vajadzētu apsvērt:

      • Publisko pakotņu privātie spoguļi, lai aizsargātu uzņēmumus no manipulētām versijām.
      • Nepārtraukta vārdtelpas nolaupīšanas uzraudzība.
      • Publiski atklātas “zināmas labas” hešas katrai izlaiduma versijai.

      4. Privātā sektora revīzijas

      Organizācijām vajadzētu:

      • Piespraust atkarības fiksētajām versijām.
      • Veiciet CI/CD darbplūsmu auditu, lai noteiktu neatļautas izmaiņas.
      • Nekavējoties nomainiet akreditācijas datus (npm žetonus, GitHub žetonus, mākoņa atslēgas), ja tie tiek atklāti.

      5. Federālā un privātā sektora sadarbība

      Pat ja CISA uz laiku zaudē spēku, tukšums ir jāaizpilda ar ad hoc struktūrām:

      • Kopīgi ieteikumi starp CISA, Socket.dev, GitHub un npm.
      • Ļaunprātīgu jaucējkodu un galapunktu reāllaika plūsmas.
      • Finansiāls un tehnisks atbalsts atvērtā pirmkoda programmatūras uzturētājiem (bieži vien neapmaksātiem brīvprātīgajiem).

      Secinājums: Vājumu sadursme

      Šai-Huluda kampaņa pierāda, ka uzbrukumi piegādes ķēdēm vairs nav "robežgadījumi" — tie kļūst par standarta pretinieku taktiku. Pakešu kompromitēšana CrowdStrike vārdtelpā uzsver, cik trausla ir kļuvusi uzticēšanās ekosistēmai.

      Un tieši tad, kad šie draudi saasinās, ASV varētu pieļaut CISA 2015 termiņa beigām, tādējādi nojaucot juridisko sastatni, kas nodrošina informācijas apmaiņu un ātru reaģēšanu.

      Mācība ir skarba: bez likumdošanas atjaunošanas un nozares reformas ASV riskē nonākt līdz šim bīstamākajā programmatūras piegādes ķēdes kompromisu laikmetā, kurā pretinieki izmanto gan tehniskās ievainojamības, gan politikas vakuumu.

      Īsāk sakot: trausls kodekss + trausls likums = nacionālais risks.

      Notiek ielāde...