மல்டி-லைசென்ஸ் தள்ளுபடி மேற்கோள்
கணினி பாதுகாப்பு CrowdStrike, Shai-Hulud, மற்றும் CISA 2015 காலாவதி...

CrowdStrike, Shai-Hulud, மற்றும் CISA 2015 காலாவதி நெருங்கி வருதல்: மென்பொருள் விநியோகச் சங்கிலித் தாக்குதல்களைக் கண்டு அமெரிக்கா ஏன் தூங்க முடியவில்லை?

கணினி பாதுகாப்பு இல் Sandos இல்
இதற்கு மொழிபெயர்க்கவும்:

பொருளடக்கம்

உடையக்கூடிய சங்கிலிகள் உடையக்கூடிய சட்டங்களை சந்திக்கின்றன

2025 ஆம் ஆண்டின் பாதுகாப்பு தலைப்புச் செய்திகள் ransomware கும்பல்கள், AI- இயக்கப்படும் சைபர் அச்சுறுத்தல்கள் மற்றும் புவிசார் அரசியல் ஹேக்கிங் பிரச்சாரங்களால் ஆதிக்கம் செலுத்தியுள்ளன. ஆனால் திறந்த மூல உலகின் விநியோகச் சங்கிலிகளில் - குறிப்பாக npm JavaScript சுற்றுச்சூழல் அமைப்பில் - அமைதியான, மிகவும் நயவஞ்சகமான போக்கு நடக்கிறது.

"ஷாய்-ஹுலுத்" என்ற பெயரில் தொகுக்கப்பட்ட தாக்குதல்களின் சமீபத்திய அலை, டஜன் கணக்கான npm தொகுப்புகளை சமரசம் செய்துள்ளது, அவற்றில் CrowdStrike பெயர்வெளியின் கீழ் வெளியிடப்பட்டவை அடங்கும். அந்த உண்மை மட்டுமே எச்சரிக்கையை எழுப்ப வேண்டும்: உலகின் மிகவும் அடையாளம் காணக்கூடிய சைபர் பாதுகாப்பு விற்பனையாளர்களில் ஒருவருடன் தொடர்புடைய தொகுப்புகளை எதிரிகள் விஷமாக்கும்போது, மென்பொருள் சுற்றுச்சூழல் அமைப்பின் மீதான நம்பிக்கை ஆபத்தில் உள்ளது.

மேலும் இது ஒரு முக்கியமான கொள்கை பின்னணியில் வெளிப்படுகிறது: செப்டம்பர் மாத இறுதியில் 2015 ஆம் ஆண்டின் சைபர் பாதுகாப்பு தகவல் பகிர்வுச் சட்டம் (CISA 2015) காலாவதியாகவுள்ள நிலையில். CISA 2015, தனியார் துறைக்கும் கூட்டாட்சி நிறுவனங்களுக்கும் இடையிலான சமரசக் குறிகாட்டிகளின் (IOCs) தன்னார்வ, பொறுப்பு-பாதுகாக்கப்பட்ட பகிர்வின் பெரும்பகுதியை ஆதரிக்கிறது. அது தோல்வியடைந்தால், அமெரிக்கா ஒரு கையை பின்னால் கட்டிக்கொண்டு ஷாய்-ஹுலுத் பாணி தாக்குதல்களை எதிர்கொள்ள முயற்சிக்கும்.

ஷாய்-ஹுலுத் பிரச்சாரம்: விநியோகச் சங்கிலி தாக்குதலின் உடற்கூறியல்

1. ஆரம்ப சமரசம்

தாக்குதல் நடத்தியவர்கள், முறையான தொகுப்புகளுடன் இணைக்கப்பட்ட npm கணக்குகளில் ஊடுருவினர் (சில தனிப்பட்ட பராமரிப்பாளர்களுக்கு சொந்தமானவை, மற்றவை நிறுவன பெயர்வெளிகளின் கீழ்). package.json ஐ மாற்றியமைத்து, bundle.js என்ற தீங்கிழைக்கும் கோப்பை உட்பொதிப்பதன் மூலம், அவர்கள் நம்பகமான திட்டங்களை ட்ரோஜனேற்றம் செய்தனர்.

2. பேலோட்: தி பண்டில்.ஜேஎஸ் இம்ப்லாண்ட்

இம்பிளாண்ட் என்பது நுட்பமான "ஸ்கிரிப்ட் கிட்" தீம்பொருள் அல்ல. இது தொடர்ச்சியான துல்லியமான, தானியங்கி பணிகளைச் செய்கிறது:

  • டோக்கன் அறுவடை : NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID , மற்றும் AWS_SECRET_ACCESS_KEY போன்ற ரகசியங்களை ஹோஸ்ட் சூழலில் தேடுகிறது.
  • கருவி வரிசைப்படுத்தல் : கசிந்த ரகசியங்களுக்காக களஞ்சியங்களை ஸ்கேன் செய்ய பொதுவாகப் பயன்படுத்தப்படும் ஒரு திறந்த மூல பயன்பாடான TruffleHog ஐ பதிவிறக்கம் செய்து இயக்குகிறது. இங்கே இது உள்ளூர் அமைப்புகளை துடைக்க தாக்குதல் ரீதியாக மீண்டும் உருவாக்கப்பட்டது.
  • சரிபார்ப்பு : எந்தச் சான்றுகள் செயலில் உள்ளன என்பதை உறுதிப்படுத்த, இலகுரக API கோரிக்கைகளைச் செய்வதன் மூலம் அறுவடை செய்யப்பட்ட டோக்கன்களைச் சரிபார்க்கிறது.
  • CI/CD வழியாக நிலைத்தன்மை : தீங்கிழைக்கும் GitHub செயல்கள் பணிப்பாய்வுகளைச் செருக .github/workflows கோப்பகங்களை உருவாக்குகிறது அல்லது மாற்றியமைக்கிறது - பெரும்பாலும் shai-hulud.yaml அல்லது shai-hulud-workflow.yml என அழைக்கப்படுகிறது. இந்த பணிப்பாய்வுகள் எதிர்கால CI/CD இயக்கங்களின் போது ரகசியங்களை மீண்டும் வெளியேற்றும்.
  • வெளியேற்றம் : திருடப்பட்ட சான்றுகள் மற்றும் முடிவுகளை கடினக் குறியிடப்பட்ட வெப்ஹூக் எண்ட்பாயிண்ட்களுக்கு அனுப்புகிறது, இது பெரும்பாலும் பயன்படுத்தக்கூடிய உள்கட்டமைப்பு மூலம் கட்டுப்படுத்தப்படுகிறது.

    • 3. இனப்பெருக்கம்

    npm தொகுப்புகள் ஆழமாக ஒன்றோடொன்று இணைந்திருப்பதால், ஒரு சமரசம் கூட அடுக்கடுக்காக நடக்கலாம். தீங்கிழைக்கும் பதிப்புகள் npm பதிவேடுகளில் பதிவேற்றப்பட்டு, சார்புகளைப் புதுப்பித்த அல்லது நிறுவிய டெவலப்பர்களுக்கு தானாகவே விநியோகிக்கப்பட்டன. இதன் பொருள் ஆயிரக்கணக்கான டவுன்ஸ்ட்ரீம் திட்டங்கள் தற்செயலாக நச்சு குறியீட்டை இழுத்திருக்கலாம்.

    செப்டம்பர் மாத தொடக்கத்தில் நடந்த டைனிகலர் சம்பவம் ஆபத்தை விளக்குகிறது. அந்த நூலகம் ( @ctrl/tinycolor ) வாரந்தோறும் மில்லியன் கணக்கான முறை பதிவிறக்கம் செய்யப்படுகிறது. ஷாய்-ஹுலுட் பேலோடுடன் இது சமரசம் செய்யப்பட்டபோது, 40 க்கும் மேற்பட்ட டவுன்ஸ்ட்ரீம் தொகுப்புகள் விஷமாக்கப்பட்டன.

    4. CrowdStrike பெயர்வெளி மீறல்

    மிகவும் ஆபத்தான கண்டுபிடிப்பு என்னவென்றால் @crowdstrike npm பெயர்வெளியின் கீழ் வெளியிடப்பட்ட தொகுப்புகளும் சமரசம் செய்யப்பட்டன. Socket.dev டஜன் கணக்கான விஷம் கலந்த பதிப்புகளை அடையாளம் கண்டுள்ளது, சில செப்டம்பர் 14–16, 2025 க்கு இடையில் விரைவான வெடிப்பில் வெளியிடப்பட்டன.

    CrowdStrike இன் சொந்த உள்கட்டமைப்பு மீறப்பட்டதற்கான எந்த ஆதாரமும் இல்லை என்றாலும், நற்பெயர் மற்றும் முறையான தாக்கங்கள் தீவிரமானவை:

    • @crowdstrike போன்ற விற்பனையாளர் பெயர்வெளிகள் இரும்புக் கவசமாக இருக்கும் என்று டெவலப்பர்கள் எதிர்பார்க்கிறார்கள்.
    • விஷம் கலந்த பெயர்வெளி விற்பனையாளர் மீது மட்டுமல்ல, npm மீதும் உள்ள நம்பிக்கையைக் குறைமதிப்பிற்கு உட்படுத்துகிறது.
    • அத்தகைய சமரசத்தின் குறியீட்டு மற்றும் நடைமுறை சக்தியை எதிரிகள் தெளிவாகப் புரிந்துகொண்டனர்.

    தொழில்நுட்ப குறிகாட்டிகள் மற்றும் கவனிக்கத்தக்கவைகள்

    இதை மேலும் உறுதிப்படுத்த, ஷாய்-ஹுலுத் தொகுப்புகளின் பகுப்பாய்விலிருந்து பின்வரும் தொழில்நுட்பக் குறிகாட்டிகள் வெளிப்பட்டன:

    • தீங்கிழைக்கும் கோப்புகள் : bundle.js , index.js (call bundle ஆக மாற்றப்பட்டது), .github/workflows/ இல் செருகப்பட்ட பணிப்பாய்வு கோப்புகள்.
    • பணிப்பாய்வு பேலோடுகள் : பொதுவாக ரகசியங்களைச் சுருட்டுவதற்கும் தாக்குபவர் வெப்ஹூக்குகளுக்கு இடுகையிடுவதற்கும் படிகளைக் கொண்டிருக்கும்.
    • ஹாஷ் மறுபயன்பாடு : பல தொகுப்புகளில் உள்ள bundle.js கோப்புகளின் ஒரே மாதிரியான SHA-256 ஹாஷ்கள், பிரச்சார ஒருங்கிணைப்பை உறுதிப்படுத்துகின்றன.
    • வெளியேற்ற முனைப்புள்ளிகள் : பொருட்கள் தளங்களில் ஹோஸ்ட் செய்யப்பட்ட வெப்ஹூக்குகள் (எ.கா., டிஸ்கார்ட், ஸ்லாக் இன்கமிங் வெப்ஹூக்குகள் அல்லது தற்காலிக கிளவுட் சேவைகள்).
    • வெளியீட்டு முறைகள் : நிமிடங்களில் வெளியிடப்பட்ட டஜன் கணக்கான தொகுப்பு பதிப்புகளின் வெடிப்புகள், கைமுறை வெளியீட்டிற்குப் பதிலாக தானியங்கி கருவிகளுடன் ஒத்துப்போகின்றன.

      • இந்த குறிகாட்டிகள் வெறும் தடயவியல் அற்பமானவை அல்ல. அவை எதிரியின் தானியங்கிமயமாக்கல் மற்றும் ஒழுக்கத்தை எடுத்துக்காட்டுகின்றன - இது பரிசோதனைக்காக அல்ல, அளவிற்காக வடிவமைக்கப்பட்ட பிரச்சாரம்.

      விநியோகச் சங்கிலி தாக்குதல்கள் ஏன் மிகவும் ஆபத்தானவை

      விநியோகச் சங்கிலித் தாக்குதல்கள் வெளிப்புற சுற்றளவைத் தாண்டிச் செல்கின்றன. ஃபயர்வால்களை உடைப்பதற்குப் பதிலாக, அவை நிறுவனங்கள் தினசரி நம்பியிருக்கும் நம்பகமான மென்பொருள் புதுப்பிப்புகள் மற்றும் நூலகங்களுக்குள் சவாரி செய்கின்றன.

      • அடையும் அளவு : tinycolor போன்ற ஒற்றை npm தொகுப்பையோ அல்லது @crowdstrike போன்ற நிறுவன பெயர்வெளியையோ சமரசம் செய்வது ஆயிரக்கணக்கான கீழ்நிலை அமைப்புகளை அம்பலப்படுத்தக்கூடும்.
      • நம்பிக்கை கடத்தல் : டெவலப்பர்கள் இயல்பாகவே தொகுப்பு மேலாளர்களை நம்புகிறார்கள்; விஷம் கலந்த புதுப்பிப்புகள் தானாகவே நிறுவப்படும்.
      • திருட்டுத்தனம் மற்றும் நிலைத்தன்மை : தீங்கிழைக்கும் GitHub செயல்களின் பணிப்பாய்வுகளை உட்பொதிப்பதன் மூலம், அசல் தீங்கிழைக்கும் பதிப்பு அகற்றப்பட்ட பிறகும் தாக்குபவர் தொடர்ச்சியான வெளியேற்றத்தை உறுதிசெய்கிறார்.

      இதனால்தான் ஷாய்-ஹுலுட் போன்ற தாக்குதல்கள் மூலோபாய ரீதியாக முக்கியத்துவம் வாய்ந்தவை: அவை நவீன மென்பொருள் மேம்பாட்டின் வழிமுறைகளை - தொகுப்பு மேலாளர்கள், CI/CD குழாய்வழிகள், திறந்த மூல சார்புகள் - தாக்குதல் மேற்பரப்புகளாக மாற்றுகின்றன.

      CISA 2015 காலாவதி ஏன் சவால்களை எழுப்புகிறது?

      CISA 2015 இன் பங்கு

      2015 ஆம் ஆண்டின் சைபர் பாதுகாப்பு தகவல் பகிர்வுச் சட்டம், தனியார் நிறுவனங்கள் அச்சுறுத்தல் குறிகாட்டிகளை DHS (பின்னர் CISA) உடன் பொறுப்பு இல்லாமல் பகிர்ந்து கொள்வதற்கான கட்டமைப்புகளை நிறுவியது. அதன் குறிக்கோள்கள்:

      • பல்வேறு துறைகளில் IOC-களின் விரைவான பகிர்வை ஊக்குவிக்கவும் .
      • நல்லெண்ணத்துடன் குறிகாட்டிகளை வெளியிடும் நிறுவனங்களுக்கு பொறுப்புப் பாதுகாப்புகளை வழங்குதல் .
      • இயந்திரம் படிக்கக்கூடிய பரிமாற்றத்திற்கான தொழில்நுட்ப வடிவங்களை (STIX/TAXII) தரப்படுத்தவும் .

      காலாவதி அபாயங்கள்

      செப்டம்பர் மாத இறுதியில் சட்டம் காலாவதியானால்:

      1. குறைக்கப்பட்ட பகிர்வு : ஷாய்-ஹுலுத்தால் பாதிக்கப்பட்ட பராமரிப்பாளர்கள், பதிவாளர்கள் மற்றும் விற்பனையாளர்கள் வழக்குகள் அல்லது ஒழுங்குமுறை பின்னடைவுகளுக்கு பயந்து விவரங்களைப் பகிரத் தயங்கலாம்.
      2. துண்டு துண்டான பதில் : கூட்டாட்சி ஒருங்கிணைப்பு இல்லாமல், நடந்து கொண்டிருக்கும் தாக்குதல்கள் குறித்த உளவுத்துறை தகவல்கள் தனிப்பட்ட விற்பனையாளர்கள் அல்லது ஆராய்ச்சியாளர்களிடம் ரகசியமாகவே இருக்கும்.
      3. மெதுவான தணிப்பு : விநியோகச் சங்கிலித் தாக்குதல்களில் நேரம் மிக முக்கியமானது. CISA-வின் கட்டமைப்பு இல்லாமல், கண்டுபிடிப்புக்கும் சமூகப் பாதுகாப்பிற்கும் இடையிலான இடைவெளி ஆபத்தான முறையில் நீடிக்கக்கூடும்.
      4. நம்பிக்கை அரிப்பு : ஏற்கனவே CrowdStrike பெயர்வெளி சமரசத்தால் அதிர்ச்சியடைந்துள்ள திறந்த மூல சமூகம், வலுவான, ஒருங்கிணைந்த கூட்டாட்சி-தனியார் பதில் இல்லாத மத்திய பதிவேடுகளை நம்புவதற்கு இன்னும் தயக்கம் காட்டக்கூடும்.

      கொள்கை மற்றும் தொழில்துறை பரிந்துரைகள்

      1. உடனடி சட்டமன்ற நடவடிக்கை

      செப்டம்பர் மாத இறுதிக்குள் காங்கிரஸ் CISA 2015 ஐ புதுப்பிக்க வேண்டும் அல்லது நீட்டிக்க வேண்டும் . அவ்வாறு செய்யத் தவறினால், அதிகரித்து வரும் சைபர் அபாயத்தை எதிர்கொள்வதில் அமெரிக்கா தன்னைத்தானே சோர்வடையச் செய்து வருகிறது என்பதை எதிரிகளுக்கு உணர்த்தும்.

      2. பதிவேட்டில் கடினப்படுத்துதல்

      npm, PyPI, RubyGems மற்றும் பிற பதிவேடுகளுக்கு வலுவான பாதுகாப்புகள் தேவை:

      • வெளியீட்டாளர்களுக்கு கட்டாய பல காரணி அங்கீகாரம் .
      • அசாதாரண வெளியீட்டு வெடிப்புகளுக்கான தானியங்கி ஒழுங்கின்மை கண்டறிதல் .
      • வெளியிடப்பட்ட தொகுப்புகளுக்கான குறியீடு கையொப்பமிடுதல் .
      • CI/CD அமைப்புகளில் உட்பொதிக்கப்பட்ட தொகுப்பு மூல காசோலைகள் .

      3. விற்பனையாளர் பெயர்வெளி பாதுகாப்பு

      CrowdStrike போன்ற விற்பனையாளர்கள் கருத்தில் கொள்ள வேண்டியவை:

      • பொதுப் பொதிகளின் தனியார் கண்ணாடிகள் , நிறுவனங்களை சிதைக்கப்பட்ட பதிப்புகளிலிருந்து பாதுகாக்கின்றன.
      • பெயர்வெளி கடத்தலைத் தொடர்ந்து கண்காணித்தல்.
      • ஒவ்வொரு வெளியீட்டிற்கும் பொதுவில் வெளியிடப்பட்ட "நல்ல-அறியப்பட்ட" ஹாஷ்கள்.

      4. தனியார் துறை தணிக்கைகள்

      நிறுவனங்கள்:

      • நிலையான பதிப்புகளுக்கு சார்புகளைப் பொருத்து.
      • அங்கீகரிக்கப்படாத மாற்றங்களுக்கு CI/CD பணிப்பாய்வுகளைத் தணிக்கை செய்யவும்.
      • வெளிப்படுத்தப்பட்டால் உடனடியாக சான்றுகளை (npm டோக்கன்கள், GitHub டோக்கன்கள், கிளவுட் கீகள்) சுழற்றுங்கள்.

      5. கூட்டாட்சி-தனியார் ஒத்துழைப்பு

      CISA தற்காலிகமாக காலாவதியானாலும், தற்காலிக கட்டமைப்புகள் வெற்றிடத்தை நிரப்ப வேண்டும்:

      • CISA, Socket.dev, GitHub மற்றும் npm இடையேயான கூட்டு ஆலோசனைகள்.
      • தீங்கிழைக்கும் ஹாஷ்கள் மற்றும் இறுதிப்புள்ளிகளின் நிகழ்நேர ஊட்டங்கள்.
      • திறந்த மூல பராமரிப்பாளர்களுக்கு (பெரும்பாலும் ஊதியம் பெறாத தன்னார்வலர்கள்) நிதி மற்றும் தொழில்நுட்ப ஆதரவு.

      முடிவு: பலவீனங்களின் மோதல்

      ஷாய்-ஹுலுத் பிரச்சாரம், விநியோகச் சங்கிலித் தாக்குதல்கள் இனி "விளிம்பு நிலை வழக்குகள்" அல்ல என்பதை நிரூபிக்கிறது - அவை ஒரு நிலையான எதிரி தந்திரமாக மாறி வருகின்றன. CrowdStrike பெயரிடலின் கீழ் தொகுப்புகளின் சமரசம் சுற்றுச்சூழல் அமைப்பில் நம்பிக்கை எவ்வளவு பலவீனமாகிவிட்டது என்பதை அடிக்கோடிட்டுக் காட்டுகிறது.

      இந்த அச்சுறுத்தல் அதிகரிக்கும் போது, தகவல் பகிர்வு மற்றும் விரைவான பதிலை செயல்படுத்தும் சட்டப்பூர்வ சாரக்கட்டுகளை அகற்றுவதன் மூலம், CISA 2015 காலாவதியாக அமெரிக்கா அனுமதிக்கலாம்.

      பாடம் அப்பட்டமானது: சட்டமன்ற புதுப்பித்தல் மற்றும் தொழில்துறை சீர்திருத்தம் இல்லாமல், அமெரிக்கா இதுவரை இல்லாத அளவுக்கு மிகவும் ஆபத்தான மென்பொருள் விநியோகச் சங்கிலி சமரச சகாப்தத்திற்குள் நுழையும் அபாயம் உள்ளது - அங்கு எதிரிகள் தொழில்நுட்ப பாதிப்புகள் மற்றும் கொள்கை வெற்றிடங்கள் இரண்டையும் பயன்படுத்திக் கொள்கிறார்கள்.

      சுருக்கமாக: பலவீனமான குறியீடு + பலவீனமான சட்டம் = தேசிய ஆபத்து.

      ஏற்றுகிறது...