Знижка на кілька ліцензій
Комп'ютерна безпека CrowdStrike, Shai-Hulud та наближення закінчення терміну...

CrowdStrike, Shai-Hulud та наближення закінчення терміну дії CISA 2015: Чому США не можуть не звертати уваги на атаки на ланцюги поставок програмного забезпечення

До Sandos року в Комп'ютерна безпека році
Перекласти на:

Крихкі ланцюги зустрічаються з крихкими законами

У заголовках новин про безпеку 2025 року домінували банди програм-вимагачів, кіберзагрози, керовані штучним інтелектом, та геополітичні хакерські кампанії. Але тихіша, підступніша тенденція спостерігається в ланцюгах поставок у світі відкритого коду, зокрема в екосистемі JavaScript, що базується на npm.

Остання хвиля атак, згрупована під назвою «Shai-Hulud» , скомпрометувала десятки npm-пакетів, зокрема ті, що опубліковані під простором імен CrowdStrike . Сам цей факт має викликати тривогу: коли зловмисники можуть отруїти пакети, пов’язані з одним із найвідоміших у світі постачальників кібербезпеки, на карту поставлена довіра до екосистеми програмного забезпечення.

І це відбувається на тлі критичного політичного контексту: майбутнього закінчення терміну дії Закону про обмін інформацією з кібербезпеки 2015 року (CISA 2015) наприкінці вересня. CISA 2015 лежить в основі значної частини добровільного, захищеного відповідальністю обміну індикаторами компрометації (IOC) між приватним сектором та федеральними агентствами. Якщо його дія втратить чинність, США намагатимуться протистояти атакам у стилі Шай-Хулуда зі зв'язаною рукою за спиною.

Кампанія Шай-Хулуд: Анатомія атаки на ланцюг поставок

1. Початковий компроміс

Зловмисники проникли в облікові записи npm, пов'язані з легітимними пакетами (деякі належать окремим розробникам, інші — до організаційних просторів імен). Змінивши package.json та вбудувавши шкідливий файл під назвою bundle.js , вони атакували проекти, які в іншому були б надійними.

2. Корисне навантаження: імплантат Bundle.js

Цей імплантат не є тонким шкідливим програмним забезпеченням типу «script kiddie». Він виконує низку точних, автоматизованих завдань:

  • Збір токенів : Шукає в середовищі хоста секрети, такі як NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID та AWS_SECRET_ACCESS_KEY .
  • Розгортання інструменту : Завантажує та запускає TruffleHog , утиліту з відкритим кодом, яка зазвичай використовується для сканування репозиторіїв на наявність витоків секретів. Тут її перепрофілюють для наступального сканування локальних систем.
  • Верифікація : Перевіряє зібрані токени, виконуючи легкі запити API для підтвердження активних облікових даних.
  • Збереження через CI/CD : створює або змінює каталоги .github/workflows для вставки шкідливих робочих процесів дій GitHub , які часто називаються shai-hulud.yaml або shai-hulud-workflow.yml . Ці робочі процеси можуть повторно викривати секрети під час майбутніх запусків CI/CD.
  • Викрадання : надсилає викрадені облікові дані та результати на жорстко запрограмовані кінцеві точки вебхука, часто контрольовані через одноразову інфраструктуру.

    • 3. Поширення

    Оскільки npm-пакети тісно взаємопов'язані, навіть одне компрометування може поширитися каскадом. Шкідливі версії завантажувалися до реєстрів npm та автоматично розповсюджувалися серед розробників, які оновлювали або встановлювали залежності. Це означає, що тисячі наступних проектів могли ненавмисно витягнути отруєний код.

    Інцидент із tinycolor, що стався раніше у вересні, ілюструє цей ризик. Цю бібліотеку ( @ctrl/tinycolor ) завантажують мільйони разів на тиждень. Коли її було скомпрометовано корисним навантаженням Shai-Hulud, було отруєно понад 40 пакетів нижньої ланки.

    4. Порушення простору імен CrowdStrike

    Найбільш тривожним відкриттям стало те, що пакети, опубліковані в просторі імен @crowdstrike npm, також були скомпрометовані. Socket.dev виявив десятки заражених версій, деякі з яких були випущені стрімким спалахом між 14 і 16 вересня 2025 року .

    Хоча немає жодних доказів порушення внутрішньої інфраструктури CrowdStrike, репутаційні та системні наслідки є серйозними:

    • Розробники очікують, що простори імен постачальників, такі як @crowdstrike будуть надійними.
    • Отруєний простір імен підриває довіру не лише до постачальника, але й до самого npm.
    • Супротивники чітко розуміли символічну та практичну силу такого компромісу.

    Технічні індикатори та спостережувані величини

    Щоб краще обґрунтувати це, в результаті аналізу пакетів Шай-Хулуд було виявлено такі технічні ознаки:

    • Шкідливі файли : bundle.js , index.js (змінено для виклику bundle), вставлені файли робочого процесу в .github/workflows/ .
    • Корисне навантаження робочого процесу : зазвичай містить кроки для згортання секретів та надсилання POST до вебхуків зловмисника.
    • Повторне використання хешу : ідентичні SHA-256 хеші файлів bundle.js у кількох пакетах, що підтверджують координацію кампанії.
    • Кінцеві точки витоку : вебхуки, розміщені на стандартних платформах (наприклад, Discord, вхідні вебхуки Slack або тимчасові хмарні сервіси).
    • Шаблони публікації : публікуються десятки версій пакетів за лічені хвилини, що відповідає автоматизованим інструментам, а не ручній публікації.

      • Ці показники не просто дрібниці для судово-медичної експертизи. Вони підкреслюють автоматизацію та дисципліну супротивника — ця кампанія була розрахована на масштаб , а не на експерименти.

      Чому атаки на ланцюги поставок такі небезпечні

      Атаки на ланцюги поставок обходять зовнішній периметр. Замість того, щоб пробиватися крізь брандмауери, вони проникають всередину надійних оновлень програмного забезпечення та бібліотек, від яких організації покладаються щодня.

      • Масштаб охоплення : Компрометація одного npm-пакета, такого як tinycolor , або організаційного простору імен, такого як @crowdstrike , потенційно розкриває тисячі нижчих систем.
      • Викрадення довіри : Розробники за своєю суттю довіряють менеджерам пакетів; отруєні оновлення встановлюються автоматично.
      • Прихованість та наполегливість : Вбудовуючи шкідливі робочі процеси GitHub Actions, зловмисник забезпечує повторне вилучення навіть після видалення оригінальної шкідливої версії.

      Ось чому атаки, подібні до Shai-Hulud, мають стратегічне значення: вони перетворюють самі механізми сучасної розробки програмного забезпечення — менеджери пакетів, конвеєри CI/CD, залежності від відкритого коду — на поверхні для атак.

      Чому закінчення терміну дії CISA 2015 підвищує ставки

      Роль CISA 2015

      Закон про обмін інформацією про кібербезпеку 2015 року встановив рамки для приватних організацій, щоб вони могли обмінюватися показниками загроз з DHS (а пізніше CISA) без жодної відповідальності. Його цілі:

      • Заохочувати швидкий обмін ІОК між секторами.
      • Забезпечити захист від відповідальності для компаній, які добросовісно розкривають показники.
      • Стандартизувати технічні формати (STIX/TAXII) для машинозчитуваного обміну.

      Ризики закінчення терміну дії

      Якщо закон втратить чинність наприкінці вересня:

      1. Обмеження обміну даними : Розробники, реєстри та постачальники, які постраждали від Шай-Хулуд, можуть вагатися ділитися інформацією через страх судових позовів або негативної реакції регуляторних органів.
      2. Фрагментоване реагування : без координації на федеральному рівні розвідувальні дані про поточні атаки залишатимуться ізольованими між окремими постачальниками чи дослідниками.
      3. Повільніше пом'якшення наслідків : Час має вирішальне значення для атак на ланцюги поставок. Без структури CISA розрив між виявленням та захистом спільноти може небезпечно збільшитися.
      4. Ерозія довіри : Вже вражена компрометацією простору імен CrowdStrike, спільнота відкритого коду може стати ще більш небажаною довіряти центральним реєстрам за відсутності сильної, скоординованої відповіді федерального та приватного секторів.

      Рекомендації щодо політики та галузі

      1. Негайні законодавчі дії

      Конгрес повинен поновити або продовжити дію CISA 2015 до кінця вересня. Невиконання цієї вимоги стане сигналом для супротивників про те, що США обмежують себе перед обличчям зростання кіберризиків.

      2. Посилення захисту реєстру

      npm, PyPI, RubyGems та інші реєстри потребують сильніших заходів безпеки:

      • Обов'язкова багатофакторна автентифікація для видавців.
      • Автоматизоване виявлення аномалій для незвичайних сплесків публікацій.
      • Підписання коду для опублікованих пакетів.
      • Перевірки походження пакетів, вбудовані в системи CI/CD.

      3. Захист простору імен постачальника

      Постачальникам, таким як CrowdStrike, варто враховувати:

      • Приватні дзеркала публічних пакетів для захисту підприємств від підроблених версій.
      • Постійний моніторинг на предмет захоплення простору імен.
      • Публічно розкриті «відомо надійні» хеші для кожного релізу.

      4. Аудит приватного сектору

      Організації повинні:

      • Закріпити залежності до виправлених версій.
      • Аудит робочих процесів CI/CD на наявність несанкціонованих змін.
      • Негайно ротуйте облікові дані (токени npm, токени GitHub, хмарні ключі) у разі їх розкриття.

      5. Співпраця федерального та приватного секторів

      Навіть якщо CISA тимчасово втрачає чинність, спеціальні структури повинні заповнити порожнечу:

      • Спільні рекомендації CISA, Socket.dev, GitHub та npm.
      • Стрічки даних про шкідливі хеші та кінцеві точки в режимі реального часу.
      • Фінансова та технічна підтримка для розробників програмного забезпечення з відкритим кодом (часто неоплачуваних волонтерів).

      Висновок: Зіткнення слабких сторін

      Кампанія Шай-Хулуд доводить, що атаки на ланцюги поставок більше не є «граничними випадками» — вони стають стандартною тактикою противника. Компрометація пакетів під простором імен CrowdStrike підкреслює, наскільки крихкою стала довіра в екосистемі.

      І саме в міру зростання цієї загрози США можуть дозволити закінчення терміну дії CISA 2015 , ліквідувавши правову основу, яка забезпечує обмін інформацією та швидке реагування.

      Урок очевидний: без оновлення законодавства та реформи галузі США ризикують вступити в найнебезпечнішу еру компрометації ланцюгів поставок програмного забезпечення — еру, коли супротивники використовують як технічні вразливості, так і політичний вакуум.

      Коротко кажучи: крихкий кодекс + крихке право = національний ризик.

      Завантаження...