دودة خبيثة تخترق نطاقات العملات الرقمية في هجوم على سلسلة التوريد

في 24 نوفمبر، اكتشفت شركة الأمن السيبراني Aikido موجة ثانية من دودة Shai-Hulud ذاتية التكاثر على npm، حيث تم اختراق 492 حزمة بلغ مجموع تنزيلاتها الشهرية 132 مليون مرة.

استهدفت الهجمة أنظمة بيئية رئيسية، بما في ذلك AsyncAPI وPostHog وPostman وZapier وENS، مستغلة الأسابيع الأخيرة قبل الموعد النهائي لـ npm في 9 ديسمبر لإلغاء رموز المصادقة القديمة.

قامت قائمة فرز Aikido بالإبلاغ عن التسلل حوالي الساعة 3:16 صباحًا بتوقيت UTC، حيث بدأت نسخ خبيثة من go-template الخاصة بـ AsyncAPI و36 حزمة ذات صلة بالانتشار عبر السجل.

وضع المهاجم وصفًا لمستودعات بيانات الاعتماد المسروقة باسم “Sha1-Hulud: The Second Coming”، محافظًا على العلامة المسرحية من حملة سبتمبر.

تقوم الدودة بتثبيت بيئة Bun أثناء إعداد الحزمة، ثم تنفذ كودًا خبيثًا يبحث في بيئات المطورين عن الأسرار المكشوفة باستخدام TruffleHog.

يتم نشر مفاتيح API المخترقة، ورموز GitHub، وبيانات اعتماد npm إلى مستودعات عامة بأسماء عشوائية، وتحاول البرمجية الخبيثة الانتشار عن طريق دفع نسخ مصابة جديدة إلى ما يصل إلى 100 حزمة إضافية، أي خمسة أضعاف حجم هجوم سبتمبر.

التطور التقني والحمل المدمر

تقدم نسخة نوفمبر عدة تعديلات عن هجوم سبتمبر.
تقوم البرمجية الخبيثة الآن بإنشاء مستودعات بأسماء عشوائية للبيانات المسروقة بدلاً من استخدام أسماء ثابتة، مما يصعب من جهود الإزالة.

يقوم كود الإعداد بتثبيت Bun عبر setup_bun.js قبل تنفيذ الحمولة الأساسية في bun_environment.js، والذي يحتوي على منطق الدودة وروتينات استخراج بيانات الاعتماد.

الإضافة الأكثر تدميراً: إذا لم تتمكن البرمجية الخبيثة من المصادقة مع GitHub أو npm باستخدام بيانات الاعتماد المسروقة، فإنها تمسح جميع الملفات في دليل المستخدم الرئيسي.

كشف تحليل Aikido عن أخطاء في التنفيذ حدت من انتشار الهجوم. أحيانًا يفشل كود التجميع الذي ينسخ الدودة بالكامل إلى الحزم الجديدة في تضمين bun_environment.js، مما يترك فقط سكريبت تثبيت Bun بدون الحمولة الخبيثة.

على الرغم من هذه الإخفاقات، أصابت الاختراقات الأولية أهدافًا عالية القيمة مع تعرض كبير في السلسلة.

هيمنت حزم AsyncAPI على الموجة الأولى، مع 36 إصدارًا مخترقًا بما في ذلك @asyncapi/cli و@asyncapi/parser و@asyncapi/generator.

تبعها PostHog في الساعة 4:11 صباحًا بتوقيت UTC، مع نسخ مصابة من posthog-js وposthog-node وعشرات الإضافات. ووصلت حزم Postman في الساعة 5:09 صباحًا بتوقيت UTC.

أثر اختراق Zapier على @zapier/zapier-sdk وzapier-platform-cli وzapier-platform-core، بينما أثر اختراق ENS على @ensdomains/ensjs و@ensdomains/ens-contracts وethereum-ens.

إنشاء فرع GitHub يشير إلى وصول على مستوى المستودع

اكتشف فريق AsyncAPI فرعًا خبيثًا في مستودع CLI الخاص بهم تم إنشاؤه مباشرة قبل ظهور الحزم المخترقة على npm.

احتوى الفرع على نسخة منشورة من برمجية Shai-Hulud الخبيثة، مما يشير إلى أن المهاجم حصل على صلاحية الكتابة في المستودع نفسه بدلاً من مجرد اختطاف رموز npm.

تعكس هذه التصعيد التقنية المستخدمة في اختراق Nx الأصلي، حيث قام المهاجمون بتعديل مستودعات المصدر لحقن كود خبيث في خطوط التجميع الشرعية.

تقدر Aikido أن هناك الآن 26,300 مستودع GitHub يحتوي على بيانات اعتماد مسروقة موسومة بوصف “Sha1-Hulud: The Second Coming”.

تحتوي المستودعات على أسرار تم كشفها من بيئات المطورين الذين قاموا بتشغيل الحزم المخترقة، بما في ذلك بيانات اعتماد خدمات السحابة، ورموز CI/CD، ومفاتيح المصادقة لواجهات برمجة التطبيقات الخارجية.

تزيد الطبيعة العامة للتسريبات من حجم الضرر: يمكن لأي مهاجم يراقب المستودعات جمع بيانات الاعتماد في الوقت الفعلي وشن هجمات ثانوية.

توقيت الهجوم والتخفيف

يتزامن التوقيت مع إعلان npm في 15 نوفمبر عن إلغاء رموز المصادقة الكلاسيكية في 9 ديسمبر.

يشير اختيار المهاجم لإطلاق حملة واسعة النطاق أخيرة قبل الموعد النهائي إلى أنه أدرك أن نافذة الاختراقات المعتمدة على الرموز كانت توشك على الإغلاق. يُظهر الجدول الزمني لـ Aikido أن الموجة الأولى من Shai-Hulud بدأت في 16 سبتمبر.

تمثل موجة “Second Coming” في 24 نوفمبر الفرصة الأخيرة للمهاجم لاستغلال الرموز القديمة قبل أن يقطع انتقال npm هذا الوصول.

توصي Aikido بأن تقوم فرق الأمن بمراجعة جميع التبعيات من الأنظمة البيئية المتأثرة، وخاصة حزم Zapier وENS وAsyncAPI وPostHog وPostman التي تم تثبيتها أو تحديثها بعد 24 نوفمبر.

يجب على المؤسسات تدوير جميع أسرار GitHub وnpm والسحابة وCI/CD المستخدمة في البيئات التي كانت هذه الحزم موجودة فيها، والبحث في GitHub عن مستودعات بوصف “Sha1-Hulud: The Second Coming” لتحديد ما إذا تم كشف بيانات الاعتماد الداخلية.

يمنع تعطيل سكريبتات postinstall الخاصة بـ npm في خطوط CI تنفيذ التعليمات البرمجية أثناء التثبيت في المستقبل، ويحد تثبيت إصدارات الحزم باستخدام ملفات القفل من التعرض للإصدارات المخترقة الجديدة.

ظهر منشور دودة خبيثة تخترق مجالات العملات الرقمية في هجوم سلسلة التوريد أولاً على CryptoSlate.