Скидка на мультилицензию
Компьютерная безопасность CrowdStrike, Шаи-Хулуд и приближающееся окончание...

CrowdStrike, Шаи-Хулуд и приближающееся окончание действия CISA 2015: почему США не могут спать спокойно, опасаясь атак на цепочки поставок программного обеспечения

К Sandos году в Компьютерная безопасность году
Перевести на:

Хрупкие цепи встречают хрупкие законы

В заголовках новостей о безопасности в 2025 году доминировали сообщения о программах-вымогателях, киберугрозах с использованием искусственного интеллекта и геополитических хакерских кампаниях. Но более тихая и коварная тенденция наблюдается в цепочках поставок ПО с открытым исходным кодом, особенно в экосистеме JavaScript npm.

Последняя волна атак, объединенная под названием «Shai-Hulud» , скомпрометировала десятки пакетов npm, включая те, что опубликованы в пространстве имён CrowdStrike . Один этот факт должен насторожить: когда злоумышленники могут отравить пакеты, связанные с одним из самых известных в мире поставщиков решений для кибербезопасности, доверие к экосистеме программного обеспечения оказывается под угрозой.

И всё это происходит на критическом политическом фоне: приближающегося истечения срока действия Закона о кибербезопасности 2015 года (CISA 2015) в конце сентября. CISA 2015 лежит в основе значительной части добровольного обмена индикаторами компрометации (IOC) между частным сектором и федеральными агентствами, подкреплённого ответственностью. Если он прекратит своё действие, США придётся противостоять атакам в стиле Шаи-Хулуда, держа одну руку за спиной.

Кампания Шаи-Хулуд: Анатомия атаки на цепочку поставок

1. Первоначальный компромисс

Злоумышленники проникли в учётные записи npm, связанные с легитимными пакетами (некоторые из которых принадлежат отдельным разработчикам, другие — пространствам имён организаций). Изменив файл package.json и внедрив вредоносный файл bundle.js , они троянизировали в остальном надёжные проекты.

2. Полезная нагрузка: имплант Bundle.js

Имплант — это не просто скрытое вредоносное ПО типа «скрипт-кидди». Он выполняет ряд точных автоматизированных задач:

  • Сбор токенов : поиск в среде хоста секретов, таких как NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID и AWS_SECRET_ACCESS_KEY .
  • Развертывание инструмента : скачивает и запускает TruffleHog , утилиту с открытым исходным кодом, обычно используемую для сканирования репозиториев на предмет утечки секретных данных. Здесь она используется для атаки на локальные системы.
  • Проверка : проверяет собранные токены путем выполнения легких запросов API для подтверждения того, какие учетные данные активны.
  • Сохранение данных через CI/CD : создаёт или изменяет каталоги .github/workflows для вставки вредоносных рабочих процессов GitHub Actions , часто называемых shai-hulud.yaml или shai-hulud-workflow.yml . Эти рабочие процессы могут повторно извлекать секретные данные во время будущих запусков CI/CD.
  • Эксфильтрация : отправляет украденные учетные данные и результаты на жестко запрограммированные конечные точки веб-перехватчиков, часто управляемые с помощью одноразовой инфраструктуры.

    • 3. Распространение

    Поскольку пакеты npm тесно взаимосвязаны, даже одна уязвимость может привести к каскадному заражению. Вредоносные версии были загружены в реестры npm и автоматически распространены среди разработчиков, которые обновляли или устанавливали зависимости. Это означает, что тысячи нижестоящих проектов могли непреднамеренно использовать зараженный код.

    Инцидент с tinycolor, произошедший ранее в сентябре, наглядно иллюстрирует этот риск. Эта библиотека ( @ctrl/tinycolor ) загружается миллионы раз в неделю. Когда она была скомпрометирована вредоносной нагрузкой Shai-Hulud, более 40 последующих пакетов были заражены.

    4. Нарушение пространства имен CrowdStrike

    Самым тревожным открытием стало то, что пакеты, опубликованные в пространстве имён npm @crowdstrike также были скомпрометированы. Socket.dev выявил десятки зараженных версий, некоторые из которых были выпущены в спешке в период с 14 по 16 сентября 2025 года .

    Хотя нет никаких доказательств взлома внутренней инфраструктуры CrowdStrike, репутационные и системные последствия серьезны:

    • Разработчики ожидают, что пространства имен поставщиков, такие как @crowdstrike будут нерушимыми.
    • Отравленное пространство имен подрывает доверие не только к поставщику, но и к самому npm.
    • Противники ясно понимали символическую и практическую силу такого компромисса.

    Технические индикаторы и наблюдаемые данные

    Для дальнейшего обоснования этих данных в результате анализа пакетов Шаи-Хулуд были выявлены следующие технические маркеры:

    • Вредоносные файлы : bundle.js , index.js (изменён для вызова bundle), вставленные файлы рабочих процессов в .github/workflows/ .
    • Полезные данные рабочего процесса : обычно содержат шаги по завёртыванию секретов и отправке POST-запросов на веб-перехватчики злоумышленника.
    • Повторное использование хешей : идентичные хеши SHA-256 файлов bundle.js в нескольких пакетах, подтверждающие координацию кампании.
    • Конечные точки эксфильтрации : веб-перехватчики, размещенные на общедоступных платформах (например, Discord, входящие веб-перехватчики Slack или временные облачные сервисы).
    • Шаблоны публикации : десятки версий пакетов публикуются в течение нескольких минут, что соответствует автоматизированному инструментарию, а не ручной публикации.

      • Эти показатели — не просто криминалистические мелочи. Они подчёркивают автоматизацию и дисциплину противника — эта кампания была рассчитана на масштаб , а не на эксперименты.

      Почему атаки на цепочки поставок так опасны

      Атаки на цепочки поставок обходят внешний периметр. Вместо того чтобы прорывать межсетевые экраны, они проникают в доверенные обновления программного обеспечения и библиотеки, которыми организации ежедневно пользуются.

      • Масштаб охвата : Компрометация одного пакета npm, например tinycolor , или организационного пространства имен, например @crowdstrike , потенциально раскрывает тысячи нижестоящих систем.
      • Перехват доверия : разработчики по сути доверяют менеджерам пакетов; зараженные обновления устанавливаются автоматически.
      • Скрытность и настойчивость : внедряя вредоносные рабочие процессы GitHub Actions, злоумышленник обеспечивает повторную эксфильтрацию даже после удаления исходной вредоносной версии.

      Вот почему атаки, подобные Shai-Hulud, имеют стратегическое значение: они превращают сами механизмы современной разработки программного обеспечения — менеджеры пакетов, конвейеры CI/CD, зависимости с открытым исходным кодом — в поверхности для атак.

      Почему истечение срока действия CISA 2015 повышает ставки

      Роль CISA 2015

      Закон о кибербезопасности и обмене информацией 2015 года установил рамки для частных организаций, которые могут предоставлять данные об угрозах Министерству внутренней безопасности (и позднее Агентству по кибербезопасности и информационной безопасности) без какой-либо ответственности. Его цели:

      • Поощрять быстрый обмен МОК между секторами.
      • Обеспечить защиту от ответственности компаний, добросовестно раскрывающих показатели.
      • Стандартизировать технические форматы (STIX/TAXII) для машиночитаемого обмена.

      Риски истечения срока действия

      Если закон прекратит свое действие в конце сентября:

      1. Ограничение обмена информацией : специалисты по обслуживанию, регистраторы и поставщики, пострадавшие от «Шай-Хулуда», могут не спешить делиться подробностями из-за страха судебных исков или негативных последствий со стороны регулирующих органов.
      2. Фрагментированный ответ : без координации на федеральном уровне разведывательная информация о текущих атаках будет оставаться разрозненной и поступать к отдельным поставщикам или исследователям.
      3. Более медленное смягчение последствий : Время имеет решающее значение при атаках на цепочки поставок. Без системы CISA задержка между обнаружением атаки и её принятием общественными силами может увеличиться до опасного размера.
      4. Подрыв доверия : сообщество разработчиков ПО с открытым исходным кодом, уже потрясенное взломом пространства имен CrowdStrike, может еще больше утратить доверие к центральным реестрам в отсутствие сильной, скоординированной реакции федерального и частного секторов.

      Рекомендации по политике и отрасли

      1. Немедленные законодательные действия

      Конгресс должен продлить или возобновить действие CISA 2015 до конца сентября. В противном случае США поймут, что США ослабляют свои позиции перед лицом растущего киберриска.

      2. Укрепление реестра

      npm, PyPI, RubyGems и другие реестры нуждаются в более надежных мерах защиты:

      • Обязательная многофакторная аутентификация для издателей.
      • Автоматизированное обнаружение аномалий при необычных всплесках публикаций.
      • Подписание кода для опубликованных пакетов.
      • Проверки происхождения пакетов, встроенные в системы CI/CD.

      3. Защита пространства имен поставщика

      Таким поставщикам, как CrowdStrike, следует учитывать:

      • Частные зеркала публичных пакетов для защиты предприятий от поддельных версий.
      • Постоянный мониторинг перехвата пространства имен.
      • Публично опубликованные «заведомо правильные» хеши для каждого выпуска.

      4. Аудит частного сектора

      Организациям следует:

      • Закрепить зависимости от исправленных версий.
      • Аудит рабочих процессов CI/CD на предмет несанкционированных изменений.
      • Немедленно проводите ротацию учетных данных (токенов npm, токены GitHub, облачные ключи) в случае их раскрытия.

      5. Федерально-частное сотрудничество

      Даже если действие CISA временно прекратится, образовавшуюся пустоту должны будут заполнить специальные структуры:

      • Совместные рекомендации CISA, Socket.dev, GitHub и npm.
      • Потоки вредоносных хэшей и конечных точек в режиме реального времени.
      • Финансовая и техническая поддержка разработчиков ПО с открытым исходным кодом (часто неоплачиваемых добровольцев).

      Заключение: Столкновение слабостей

      Кампания «Шаи-Хулуд» доказывает, что атаки на цепочки поставок больше не являются «пограничными случаями» — они становятся стандартной тактикой злоумышленников. Взлом пакетов в пространстве имён CrowdStrike подчёркивает, насколько хрупким стало доверие к экосистеме.

      И как раз в тот момент, когда эта угроза обостряется, США могут допустить истечение срока действия CISA 2015 , демонтировав тем самым правовую основу, которая обеспечивает обмен информацией и быстрое реагирование.

      Урок суров: без обновления законодательства и реформы отрасли США рискуют вступить в самую опасную на сегодняшний день эпоху компрометации цепочек поставок программного обеспечения — эпоху, в которой злоумышленники используют как технические уязвимости, так и политический вакуум.

      Короче говоря: хрупкий код + хрупкое законодательство = национальный риск.

      Загрузка...