Rabatttilbud for flere lisenser
Datasikkerhet CrowdStrike, Shai-Hulud og den forestående utløpet av...

CrowdStrike, Shai-Hulud og den forestående utløpet av CISA 2015: Hvorfor USA ikke kan sove på angrep på programvareforsyningskjeden

Med Sandos i Datasikkerhet
Oversett til:

Skjøre kjeder møter sårbare lover

Sikkerhetsoverskriftene i 2025 har vært dominert av ransomware-gjenger, AI-drevne cybertrusler og geopolitiske hackingkampanjer. Men den roligere, mer lumske trenden skjer i forsyningskjedene i åpen kildekode-verdenen – spesielt i npm JavaScript-økosystemet.

Den siste bølgen av angrep, gruppert under navnet «Shai-Hulud» , har kompromittert dusinvis av npm-pakker, inkludert de som er publisert under navneområdet CrowdStrike . Bare dette faktum burde være alarmerende: når motstandere kan forgifte pakker tilknyttet en av verdens mest gjenkjennelige leverandører av nettsikkerhet, står tilliten til programvareøkosystemet på spill.

Og dette utfolder seg mot et kritisk politisk bakteppe: den forestående utløpet av Cybersecurity Information Sharing Act av 2015 (CISA 2015) i slutten av september. CISA 2015 ligger til grunn for mye av den frivillige, ansvarsbeskyttede delingen av indikatorer på kompromiss (IOC-er) mellom privat sektor og føderale etater. Hvis den bortfaller, vil USA forsøke å konfrontere Shai-Hulud-lignende angrep med én hånd bundet bak ryggen.

Shai-Hulud-kampanjen: Anatomien til et angrep i forsyningskjeden

1. Innledende kompromiss

Angriperne infiltrerte npm-kontoer knyttet til legitime pakker (noen tilhørte individuelle vedlikeholdere, andre under organisasjonsnavnerom). Ved å endre package.json og bygge inn en ondsinnet fil kalt bundle.js , trojanerte de ellers troverdige prosjekter.

2. Nyttelast: Bundle.js-implantatet

Implantatet er ikke en subtil «script kiddie»-skadevare. Det utfører en rekke presise, automatiserte oppgaver:

  • Tokenhøsting : Søker i vertsmiljøet etter hemmeligheter som NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID og AWS_SECRET_ACCESS_KEY .
  • Verktøydistribusjon : Laster ned og kjører TruffleHog , et åpen kildekode-verktøy som vanligvis brukes til å skanne arkiver for lekkede hemmeligheter. Her brukes det offensivt for å gjennomsøke lokale systemer.
  • Verifisering : Validerer innsamlede tokener ved å utføre lette API-forespørsler for å bekrefte hvilke legitimasjonsopplysninger som er aktive.
  • Persistens via CI/CD : Oppretter eller endrer .github/workflows -kataloger for å sette inn skadelige GitHub Actions-arbeidsflyter – ofte kalt shai-hulud.yaml eller shai-hulud-workflow.yml . Disse arbeidsflytene kan refiltrere hemmeligheter under fremtidige CI/CD-kjøringer.
  • Eksfiltrering : Sender de stjålne legitimasjonene og resultatene til hardkodede webhook-endepunkter, ofte kontrollert via engangsinfrastruktur.

    • 3. Formering

    Fordi npm-pakker er tett sammenkoblet, kan selv et enkelt kompromitteringsproblem spre seg. De skadelige versjonene ble lastet opp til npm-registre og distribuert automatisk til utviklere som oppdaterte eller installerte avhengigheter. Dette betyr at tusenvis av nedstrømsprosjekter utilsiktet kan ha hentet forgiftet kode.

    tinycolor-hendelsen tidligere i september illustrerer risikoen. Det biblioteket ( @ctrl/tinycolor ) lastes ned millioner av ganger i uken. Da det ble kompromittert med Shai-Hulud-nyttelasten, ble mer enn 40 nedstrømspakker forgiftet.

    4. CrowdStrike-navneområdebrudd

    Den mest alarmerende oppdagelsen var at pakker publisert under navnerommet @crowdstrike npm også ble kompromittert. Socket.dev identifiserte dusinvis av forgiftede versjoner, noen utgitt i en rask utbrudd mellom 14. og 16. september 2025 .

    Selv om det ikke finnes bevis for at CrowdStrikes egen interne infrastruktur ble brutt, er de omdømmemessige og systemiske konsekvensene alvorlige:

    • Utviklere forventer at leverandørnavneområder som @crowdstrike skal være jernbelagte.
    • Et forgiftet navnerom undergraver tilliten ikke bare til leverandøren, men også til npm selv.
    • Motstanderne forsto tydelig den symbolske og praktiske kraften i et slikt kompromiss.

    Tekniske indikatorer og observerbare verdier

    For å begrunne dette ytterligere, kom følgende tekniske markører frem fra analysen av Shai-Hulud-pakkene:

    • Ondsinnede filer : bundle.js , index.js (modifisert for å kalle bundle), innsatte arbeidsflytfiler i .github/workflows/ .
    • Arbeidsflytnyttelaster : Inneholder vanligvis trinn for å krølle hemmeligheter og POST til angriperens webhooks.
    • Gjenbruk av hash : Identiske SHA-256-hasher av bundle.js -filer på tvers av flere pakker, noe som bekrefter kampanjekoordinering.
    • Eksfiltreringsendepunkter : Webhooks som ligger på standardplattformer (f.eks. Discord, Slack innkommende webhooks eller midlertidige skytjenester).
    • Publiseringsmønstre : Utbrudd av dusinvis av pakkeversjoner publisert på få minutter, i samsvar med automatisert verktøybruk i stedet for manuell publisering.

      • Disse indikatorene er ikke bare rettsmedisinske trivialiteter. De fremhever motstanderens automatisering og disiplin – dette var en kampanje designet for skala , ikke eksperimentering.

      Hvorfor angrep i forsyningskjeden er så farlige

      Angrep i forsyningskjeden omgår den ytre omkretsen. I stedet for å bryte gjennom brannmurer, får de en tur inn i de pålitelige programvareoppdateringene og bibliotekene som organisasjoner er avhengige av daglig.

      • Rekkevidde : Å kompromittere en enkelt npm-pakke som tinycolor eller et organisasjonsnavneområde som @crowdstrike eksponerer potensielt tusenvis av nedstrømssystemer.
      • Tillitskapring : Utviklere stoler iboende på pakkebehandlere; forgiftede oppdateringer installeres automatisk.
      • Skjult og utholdenhet : Ved å bygge inn ondsinnede GitHub Actions-arbeidsflyter, sikrer angriperen gjentakende eksfiltrering selv etter at den opprinnelige ondsinnede versjonen er fjernet.

      Dette er grunnen til at angrep som Shai-Hulud er strategisk viktige: de gjør selve mekanismene i moderne programvareutvikling – pakkebehandlere, CI/CD-pipelines, avhengigheter med åpen kildekode – om til angrepsflater.

      Hvorfor utløpet av CISA 2015 øker innsatsen

      CISAs rolle 2015

      Lov om deling av cybersikkerhetsinformasjon fra 2015 etablerte rammeverk for private enheter til å dele trusselindikatorer med DHS (og senere CISA) uten ansvar. Målene:

      • Oppmuntre til rask deling av IOC-er på tvers av sektorer.
      • Gi ansvarsbeskyttelse for selskaper som offentliggjør indikatorer i god tro.
      • Standardiser tekniske formater (STIX/TAXII) for maskinlesbar utveksling.

      Risikoer ved utløp

      Hvis loven utløper innen utgangen av september:

      1. Redusert deling : Vedlikeholdere, registre og leverandører som er rammet av Shai-Hulud, kan nøle med å dele detaljer av frykt for søksmål eller regulatoriske tiltak.
      2. Fragmentert respons : Uten føderal koordinering vil etterretning om pågående angrep forbli isolert på tvers av individuelle leverandører eller forskere.
      3. Tregere begrensning : Tid er kritisk i angrep i forsyningskjeden. Uten CISAs rammeverk kan tidsforsinkelsen mellom oppdagelse og samfunnsforsvar bli farlig lang.
      4. Tillitserosjon : Allerede rystet av CrowdStrike-navneområdekompromisset, kan åpen kildekode-miljøet bli enda mer motvillig til å stole på sentrale registre i mangel av sterk, koordinert føderal-privat respons.

      Anbefalinger fra politikker og bransjer

      1. Umiddelbare lovgivningstiltak

      Kongressen bør fornye eller forlenge CISA 2015 før september slutter. Hvis dette ikke gjøres, vil det signalisere til motstanderne at USA hemmer seg selv i møte med økende cyberrisiko.

      2. Herding av registeret

      npm, PyPI, RubyGems og andre registre trenger sterkere sikkerhetstiltak:

      • Obligatorisk flerfaktorautentisering for utgivere.
      • Automatisert avviksdeteksjon for uvanlige publiseringsutbrudd.
      • Kodesignering for publiserte pakker.
      • Pakkeopprinnelseskontroller innebygd i CI/CD-systemer.

      3. Beskyttelse av leverandørnavneområde

      Leverandører som CrowdStrike bør vurdere:

      • Private speil av offentlige pakker for å beskytte bedrifter mot tuklede versjoner.
      • Kontinuerlig overvåking for navneområdekapring.
      • Offentlig publiserte «kjente gode» hashkoder for hver utgivelse.

      4. Revisjoner av privat sektor

      Organisasjoner bør:

      • Fest avhengigheter til faste versjoner.
      • Revider CI/CD-arbeidsflyter for uautoriserte endringer.
      • Roter påloggingsinformasjon (npm-tokener, GitHub-tokener, skynøkler) umiddelbart hvis den blir eksponert.

      5. Føderalt-privat samarbeid

      Selv om CISA utløper midlertidig, må ad hoc-strukturer fylle tomrommet:

      • Felles råd mellom CISA, Socket.dev, GitHub og npm.
      • Sanntidsfeeder av ondsinnede hasher og endepunkter.
      • Økonomisk og teknisk støtte for vedlikeholdere av åpen kildekode (ofte ulønnede frivillige).

      Konklusjon: En kollisjon av svakheter

      Shai-Hulud-kampanjen beviser at angrep i forsyningskjeden ikke lenger er «kanttilfeller» – de er i ferd med å bli en standardtaktikk for motstandere. Kompromisset av pakker under navneområdet CrowdStrike understreker hvor skjør tilliten til økosystemet har blitt.

      Og akkurat idet denne trusselen eskalerer, kan det hende at USA tillater at CISA 2015 utløper – og dermed demonterer det juridiske stillaset som muliggjør informasjonsdeling og rask respons.

      Lærdommen er tydelig: uten fornyelse av lovgivningen og bransjereform risikerer USA å gå inn i den farligste æraen med kompromisser i programvareforsyningskjeden hittil – en æra der motstandere utnytter både tekniske sårbarheter og politiske vakuum.

      Kort sagt: skjør kodeks + skjør lov = nasjonal risiko.

      Laster inn...