تصيب البرامج الضارة Shai-Hulud حزم 500 npm، وتسرب الأسرار على GitHub

تم زرع المئات من إصدارات طروادة من الحزم المعروفة مثل Zapier وENS Domains وPostHog وPostman في سجل npm في حملة سلسلة توريد Shai-Hulud الجديدة.

تمت إضافة الحزم الضارة إلى NPM (Node Package Manager) خلال عطلة نهاية الأسبوع لسرقة أسرار المطورين والتكامل المستمر والتسليم المستمر (CI/CD). يتم نشر البيانات تلقائيًا على GitHub في شكل مشفر.

في وقت النشر، أعاد GitHub 27600 نتيجة تتوافق مع الإدخالات المتعلقة بالهجوم الأخير.

“https://www.bleepstatic.com/c/w/wiz/Securing-AI-Agents-970×250.png” البديل=”Wiz”>

عندما ظهرت البرامج الضارة Shai-Hulud لأول مرة في مساحة npm في منتصف شهر سبتمبر، حدث ذلك”https://www.bleepingcomputer.com/news/security/self-propagating-supply-chain-attack-hits-187-npm-packages/” الهدف=”_blank” rel=”nofollow noopener”> اختراق 187 حزمة مع حمولة ذاتية النشر تستخدم أداة TruffleHog لسرقة أسرار المطورين.

قام ممثل التهديد تلقائيًا بتنزيل الحزم الشرعية، وتعديل ملف package.json لإدخال برنامج نصي ضار، ثم نشرها على npm باستخدام حسابات مشرفين مخترقة.

اكتشف تشارلي إريكسن، باحث البرامج الضارة في منصة الأمان التي تركز على المطورين Aikido Security، الثغرة”https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains” الهدف=”_blank” rel=”nofollow noopener”> حملة جديدة في وقت سابق من اليوم، عندما كان هناك 105 حزمة طروادة مع مؤشرات شاي خلود. ومنذ ذلك الحين، ارتفع العدد إلى 492، مع احتساب أسماء الحزم فقط.

فيما بعد الباحث”https://www.linkedin.com/posts/charlie-eriksen-a318578_shai-hulud-is-again-leaking-secrets-in-public-activity-7398643346665066496-6PAn/?utm_source=social_share_send&utm_medium=member_desktop_web&rcm=ACoAADF0KC4BTJGz8kWN83W1dLn57SAB7Kxkidc” الهدف=”_blank” rel=”nofollow noopener”> حذر أن الأسرار المسروقة في هجوم سلسلة التوريد قد تسربت إلى GitHub.

ومع ذلك، فقد نمت الحملة بشكل كبير لتشمل أكثر من 27000 حزمة ضارة. اكتشف باحثو التهديدات في منصة Wiz Cloud Security حوالي 350 حسابًا فريدًا للمشرفين تم استخدامها في الحملة،”https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack” الهدف=”_blank” rel=”nofollow noopener”>ملاحظة الذي – التي ” 1,000 new repositories are being added consistently every 30 minutes in the last couple of hours.”

أوضح إريكسن لـ BleepingComputer أن المستودعات الموجودة على GitHub تشير إلى المطورين المخترقين الذين استخدموا حزم npm المصابة بأحصنة طروادة وبيانات اعتماد gitHub في بيئتهم.

أ”https://www.stepsecurity.io/blog/sha1-hulud-the-second-coming-zapier-ens-domains-and-other-prominent-npm-packages-compromised” الهدف=”_blank” rel=”nofollow noopener”> التحليل الفني يوضح تحليل البرامج الضارة الجديدة Shai-Hulud من شركة الأمن CI/CD Step Security أن الحمولات الجديدة موجودة في ملفين، أحدهماsetup_bun.js – قطارة متنكرة في هيئة مثبت كعكة.

الملف الثاني يسمىBun_environment.js وحجمه 10 ميجا بايت. يعتمد عليه”extreme obfuscation techniques,” يقول Step Security، مثل سلسلة كبيرة مشفرة سداسي عشرية تحتوي على آلاف الإدخالات، وحلقة مضادة للتحليل، ووظيفة مبهمة لاسترداد كل سلسلة في التعليمات البرمجية.

يصف Step Security خمس مراحل تنفذها البرامج الضارة أثناء الهجوم، والتي تتضمن أسرار التسلل (الرموز المميزة لـ GitHub وnpm، وأسرار الأنظمة الأساسية السحابية مثل AWS وGCP وAzure) والخطوة المدمرة التي تحل محل الدليل الرئيسي للضحية بالكامل.

تقوم شركة Koi Security، وهي شركة تقدم حلول حماية للبرامج ذاتية الخدمة، بتتبع أكثر من 800 حزمة npm تم اختراقها بواسطة Shai-Hulud، مع حساب جميع الإصدارات المصابة من الحزمة.

الباحثون”https://www.koi.ai/incident/live-updates-sha1-hulud-the-second-coming-hundred-npm-packages-compromised” الهدف=”_blank” rel=”nofollow noopener”>أكدت الخطوة المدمرة في متغير شاي خلود الجديد، يقول إن الكتابة الفوقية تحدث فقط عند استيفاء مجموعة من أربعة شروط.

يحدث حذف المجلد الرئيسي للمستخدم إذا لم تتمكن البرامج الضارة من المصادقة على GitHub، أو إنشاء مستودع على النظام الأساسي، أو جلب رمز GitHub المميز، أو العثور على رمز npm المميز.

وفقًا لـ Wiz، تجمع التعليمات البرمجية الضارة أسرار المطورين وأسرار CI/CD وتنشرها في مستودعات GitHub “with names referencing Shai-Hulud.” يتم تنفيذ التعليمات البرمجية الضارة فقط أثناء مرحلة التثبيت المسبق وتقوم بإنشاء الملفات التالية:

• cloud.json
• content.json
• بيئة.json
• truffleSecrets.json

يتم نشر الأسرار المسروقة على GitHub في المستودعات التي يتم إنشاؤها تلقائيًا والتي تحتوي على الوصف “Sha1-Hulud: The Second Coming.”

ويبدو أن جهة التهديد قد تمكنت أيضًا من الوصول إلى حسابات GitHub التي يستخدمونها الآن لإنشاء مستودعات تحتوي على الملفات الأربعة المذكورة أعلاه.

يقوم GitHub بحذف مستودعات المهاجم عند ظهورها، ولكن يبدو أن جهة التهديد تقوم بإنشاء مستودعات جديدة بسرعة كبيرة.

في القائمة التي تضم 186 حزمة وجدت Aikido Security أنها مخترقة بإصدار جديد من البرنامج الضار Shai Hulud، هناك حزم متعددة من Zapier وENS Domains وPostHog وAsyncAPI.

تشكل حزم Zapier المخترقة مجموعة الأدوات الرسمية لبناء عمليات تكامل Zapier وهي ضرورية لمطوري Zapier.

حزم EnsDomains هي أدوات ومكتبات تستخدم على نطاق واسع بواسطة المحافظ والتطبيقات اللامركزية والتبادلات وتطبيق ENS Manager، للتعامل مع أسماء .eth، وحلها مع عناوين Ethereum، وربط محتوى IPFS، والتحقق من صحة الأسماء، والتفاعل مع العقود الذكية الرسمية لـ ENS.

جميع الحزم المخترقة متاحة للتنزيل من npm. ومع ذلك، في بعض الحالات، تعرض المنصة رسالة تحذير حول النشر غير المصرح به لأحدث إصدار، مما يشير إلى أن المراجعة الآلية قد كشفت عن علامات اختراق.

يُنصح المطورون بمراجعة منشور Aikido للحصول على القائمة الكاملة للحزم المصابة، والرجوع إلى الإصدارات الآمنة، وتدوير أسرارهم ورموز CI/CD الخاصة بهم على الفور.

يوصي باحثو Wiz بأن تقوم فرق الأمان أولاً بتحديد الحزم المخترقة واستبدالها بحزم شرعية. كما يحثون المؤسسات على تدوير جميع بيانات الاعتماد المرتبطة بموفري npm وGitHub والسحابة.

ينصح Aikido Security المطورين بتعطيل البرامج النصية لما بعد التثبيت npm أثناء التكامل المستمر، إن أمكن.

تأتي عودة شاي خلود في الوقت الذي أصبح فيه GitHub”https://www.bleepingcomputer.com/news/security/github-tightens-npm-security-with-mandatory-2fa-access-tokens/” الهدف=”_blank” rel=”nofollow noopener”> أدخلت تدابير أمنية إضافية لمنع هجمات سلسلة التوريد على npm، بعد سلسلة من الهجمات عالية التأثير على المنصة. ومع ذلك، يتم تنفيذ التدابير تدريجيا.

حاولت BleepingComputer الاتصال بـ NPM بشأن الحملة ولكن رسائل البريد الإلكتروني الخاصة بنا ارتدت باعتبارها غير قابلة للتسليم.

تحديث [November 24, 10:28 AM]: تم تحديث المقالة بمعلومات من Koi Security