Oferta rabatowa na wiele licencji
Bezpieczeństwo komputerowe CrowdStrike, Shai-Hulud i zbliżające się wygaśnięcie CISA...

CrowdStrike, Shai-Hulud i zbliżające się wygaśnięcie CISA 2015: Dlaczego Stany Zjednoczone nie mogą ignorować ataków na łańcuch dostaw oprogramowania

Do Sandos w Bezpieczeństwo komputerowe
Przetłumacz na:

Kruche łańcuchy spotykają kruche prawa

Nagłówki dotyczące bezpieczeństwa w 2025 roku zdominowały gangi ransomware, cyberzagrożenia oparte na sztucznej inteligencji i geopolityczne kampanie hakerskie. Jednak cichszy, bardziej podstępny trend pojawia się w łańcuchach dostaw świata open source – szczególnie w ekosystemie JavaScript npm.

Najnowsza fala ataków, zgrupowana pod nazwą „Shai-Hulud” , naruszyła bezpieczeństwo dziesiątek pakietów npm, w tym tych opublikowanych w przestrzeni nazw CrowdStrike . Już sam ten fakt powinien być powodem do niepokoju: kiedy przeciwnicy mogą zatruwać pakiety powiązane z jednym z najbardziej rozpoznawalnych dostawców rozwiązań cyberbezpieczeństwa na świecie, zaufanie do ekosystemu oprogramowania jest zagrożone.

Dzieje się to w kontekście kluczowej polityki: zbliżającego się wygaśnięcia ustawy o udostępnianiu informacji w zakresie cyberbezpieczeństwa z 2015 r. (CISA 2015) pod koniec września. Ustawa CISA 2015 stanowi podstawę dobrowolnego, chronionego prawem autorskim udostępniania wskaźników narażenia (IOC) między sektorem prywatnym a agencjami federalnymi. Jeśli wygaśnie, Stany Zjednoczone będą próbowały stawić czoła atakom w stylu Shai-Hulud z jedną ręką związaną za plecami.

Kampania Shai-Hulud: Anatomia ataku na łańcuch dostaw

1. Początkowy kompromis

Atakujący zinfiltrowali konta npm powiązane z legalnymi pakietami (niektóre należące do indywidualnych opiekunów, inne do przestrzeni nazw organizacji). Modyfikując package.json i osadzając złośliwy plik o nazwie bundle.js , zainfekowali trojanami projekty, które w innym przypadku byłyby godne zaufania.

2. Ładunek: implant Bundle.js

Implant nie jest subtelnym złośliwym oprogramowaniem typu „script kiddie”. Wykonuje on serię precyzyjnych, zautomatyzowanych zadań:

  • Zbieranie tokenów : przeszukuje środowisko hosta w celu znalezienia sekretów, takich jak NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID i AWS_SECRET_ACCESS_KEY .
  • Wdrożenie narzędzia : Pobiera i uruchamia TruffleHog , narzędzie typu open source, zazwyczaj używane do skanowania repozytoriów w poszukiwaniu wyciekłych poufnych informacji. Tutaj jest ono wykorzystywane ofensywnie do przeszukiwania systemów lokalnych.
  • Weryfikacja : sprawdza poprawność zebranych tokenów, wykonując lekkie żądania API w celu potwierdzenia, które dane uwierzytelniające są aktywne.
  • Trwałość poprzez CI/CD : Tworzy lub modyfikuje katalogi .github/workflows w celu wstawiania złośliwych przepływów pracy GitHub Actions — często nazywanych shai-hulud.yaml lub shai-hulud-workflow.yml . Te przepływy pracy mogą ponownie ujawniać sekrety podczas przyszłych uruchomień CI/CD.
  • Eksfiltracja : wysyłanie skradzionych danych uwierzytelniających i wyników do zakodowanych na stałe punktów końcowych webhook, często kontrolowanych za pośrednictwem infrastruktury jednorazowej.

    • 3. Propagacja

    Ponieważ pakiety npm są ze sobą głęboko powiązane, nawet pojedyncze naruszenie bezpieczeństwa może prowadzić do kaskadowych naruszeń. Złośliwe wersje zostały przesłane do rejestrów npm i automatycznie rozesłane do programistów, którzy zaktualizowali lub zainstalowali zależności. Oznacza to, że tysiące projektów podrzędnych mogło nieumyślnie pobrać zatruty kod.

    Incydent z tinycolor na początku września ilustruje to ryzyko. Ta biblioteka ( @ctrl/tinycolor ) jest pobierana miliony razy tygodniowo. Kiedy została skompromitowana za pomocą pakietu Shai-Hulud, ponad 40 pakietów downstream zostało zainfekowanych.

    4. Naruszenie przestrzeni nazw CrowdStrike

    Najbardziej alarmującym odkryciem było to, że pakiety opublikowane w przestrzeni nazw npm @crowdstrike również zostały naruszone. Socket.dev zidentyfikował dziesiątki zatrutych wersji, niektóre z nich zostały opublikowane w serii w dniach 14–16 września 2025 roku .

    Choć nie ma dowodów na to, że wewnętrzna infrastruktura CrowdStrike została naruszona, konsekwencje dla reputacji i systemu są poważne:

    • Twórcy oprogramowania oczekują, że przestrzenie nazw dostawców, takie jak @crowdstrike , będą niezawodne.
    • Zatruta przestrzeń nazw podważa zaufanie nie tylko do dostawcy, ale i do samego npm.
    • Przeciwnicy doskonale rozumieli symboliczną i praktyczną moc takiego kompromisu.

    Wskaźniki techniczne i obserwowalne

    Aby to jeszcze bardziej uzasadnić, w wyniku analizy pakietów Shai-Hulud wyłoniły się następujące wskaźniki techniczne:

    • Pliki złośliwe : bundle.js , index.js (zmodyfikowany w celu wywołania bundle), wstawione pliki przepływu pracy w .github/workflows/ .
    • Ładunki przepływu pracy : zwykle zawierają kroki służące do przechowywania sekretów i przesyłania żądań POST do webhooków atakującego.
    • Ponowne wykorzystanie skrótów : Identyczne skróty SHA-256 plików bundle.js w wielu pakietach, potwierdzające skoordynowanie kampanii.
    • Punkty końcowe eksfiltracji : webhooki hostowane na platformach typu commodity (np. przychodzące webhooki Discord, Slack lub tymczasowe usługi w chmurze).
    • Wzorce publikacji : serie dziesiątek wersji pakietów publikowanych w ciągu kilku minut, zgodnie z automatycznymi narzędziami, a nie publikacją ręczną.

      • Te wskaźniki to nie tylko drobiazgi kryminalistyczne. Podkreślają one automatyzację i dyscyplinę przeciwnika – była to kampania zaprojektowana z myślą o skali , a nie eksperymentach.

      Dlaczego ataki na łańcuchy dostaw są tak niebezpieczne

      Ataki na łańcuchy dostaw omijają zewnętrzne granice. Zamiast przebijać się przez zapory sieciowe, wnikają do zaufanych aktualizacji oprogramowania i bibliotek, z których organizacje korzystają na co dzień.

      • Skala zasięgu : Narażenie pojedynczego pakietu npm, takiego jak tinycolor , lub przestrzeni nazw organizacji, takiej jak @crowdstrike , potencjalnie naraża tysiące systemów podrzędnych.
      • Przejęcie zaufania : programiści z natury ufają menedżerom pakietów; zatrute aktualizacje są instalowane automatycznie.
      • Ukrycie i trwałość : dzięki osadzaniu złośliwych przepływów pracy GitHub Actions atakujący zapewnia sobie powtarzające się eksfiltracje nawet po usunięciu oryginalnej złośliwej wersji.

      Dlatego ataki takie jak Shai-Hulud mają strategiczne znaczenie, gdyż zamieniają mechanizmy współczesnego rozwoju oprogramowania — menedżerów pakietów, potoków CI/CD, zależności między systemami open source — w powierzchnię ataku.

      Dlaczego wygaśnięcie CISA 2015 podnosi stawkę

      Rola CISA 2015

      Ustawa o udostępnianiu informacji o cyberbezpieczeństwie z 2015 r. ustanowiła ramy umożliwiające podmiotom prywatnym udostępnianie wskaźników zagrożeń Departamentowi Bezpieczeństwa Krajowego (DHS) (a później CISA) bez ponoszenia odpowiedzialności. Jej cele:

      • Zachęcaj do szybkiego udostępniania IOC pomiędzy sektorami.
      • Zapewnij ochronę przed odpowiedzialnością prawną dla firm ujawniających wskaźniki w dobrej wierze.
      • Ustandaryzować formaty techniczne (STIX/TAXII) w celu umożliwienia wymiany danych w sposób czytelny dla maszyn.

      Ryzyko wygaśnięcia

      Jeżeli ustawa straci ważność z końcem września:

      1. Ograniczone udostępnianie : Podmioty utrzymujące dane, rejestry i dostawcy dotknięci ustawą Shai-Hulud mogą wahać się przed udostępnianiem informacji z obawy przed pozwami lub negatywnymi skutkami regulacji.
      2. Fragmentaryczna odpowiedź : Bez koordynacji na szczeblu federalnym informacje wywiadowcze na temat trwających ataków będą rozproszone i będą udostępniane różnym dostawcom lub badaczom.
      3. Wolniejsze przeciwdziałanie : Czas ma kluczowe znaczenie w przypadku ataków na łańcuch dostaw. Bez ram CISA opóźnienie między wykryciem zagrożenia a obroną ze strony społeczności mogłoby się niebezpiecznie wydłużyć.
      4. Erozja zaufania : Społeczność open source, już wstrząśnięta naruszeniem przestrzeni nazw CrowdStrike, może stać się jeszcze bardziej niechętna zaufaniu centralnym rejestrom w przypadku braku silnej, skoordynowanej reakcji rządu federalnego i prywatnego.

      Zalecenia dotyczące polityki i przemysłu

      1. Natychmiastowe działanie legislacyjne

      Kongres powinien odnowić lub przedłużyć CISA 2015 przed końcem września. Brak takiego działania byłby sygnałem dla przeciwników, że Stany Zjednoczone ograniczają się w obliczu rosnącego ryzyka cybernetycznego.

      2. Utwardzanie rejestru

      npm, PyPI, RubyGems i inne rejestry potrzebują silniejszych zabezpieczeń:

      • Obowiązkowe uwierzytelnianie wieloskładnikowe dla wydawców.
      • Automatyczne wykrywanie anomalii w przypadku nietypowych publikacji.
      • Podpisywanie kodu opublikowanych pakietów.
      • Sprawdzanie pochodzenia pakietów wbudowane w systemy CI/CD.

      3. Ochrona przestrzeni nazw dostawcy

      Dostawcy tacy jak CrowdStrike powinni wziąć pod uwagę:

      • Prywatne kopie lustrzane publicznych pakietów chroniące przedsiębiorstwa przed zmodyfikowanymi wersjami.
      • Ciągły monitoring pod kątem przechwytywania przestrzeni nazw.
      • Publicznie ujawnione „znane dobre” skróty dla każdego wydania.

      4. Audyty sektora prywatnego

      Organizacje powinny:

      • Przypnij zależności do stałych wersji.
      • Przeprowadź audyt przepływów pracy CI/CD pod kątem nieautoryzowanych modyfikacji.
      • Natychmiast dokonaj rotacji danych uwierzytelniających (tokenów npm, tokenów GitHub, kluczy chmury) w przypadku ich ujawnienia.

      5. Współpraca federalno-prywatna

      Nawet jeśli CISA chwilowo wygaśnie, pustkę muszą wypełnić doraźne struktury:

      • Wspólne doradztwo CISA, Socket.dev, GitHub i npm.
      • Informacje w czasie rzeczywistym o złośliwych skrótach i punktach końcowych.
      • Wsparcie finansowe i techniczne dla osób zajmujących się utrzymaniem oprogramowania typu open source (często nieodpłatnych wolontariuszy).

      Wniosek: zderzenie słabości

      Kampania Shai-Hulud dowodzi, że ataki na łańcuchy dostaw nie są już „przypadkami skrajnymi” – stają się standardową taktyką przeciwników. Naruszenie pakietów w przestrzeni nazw CrowdStrike podkreśla, jak kruche stało się zaufanie w ekosystemie.

      W miarę jak zagrożenie to będzie się nasilać, Stany Zjednoczone mogą pozwolić na wygaśnięcie ustawy CISA 2015 , co doprowadzi do rozpadu prawnych podstaw umożliwiających wymianę informacji i szybką reakcję.

      Lekcja jest brutalna: bez odnowienia ustawodawstwa i reformy branży, Stany Zjednoczone ryzykują wkroczenie w najniebezpieczniejszą jak dotąd erę kompromisów w zakresie łańcucha dostaw oprogramowania — erę, w której przeciwnicy wykorzystują zarówno luki techniczne, jak i luki w polityce.

      Krótko mówiąc: kruchy kodeks + kruche prawo = ryzyko narodowe.

      Ładowanie...