Yovuz qurtdan foydalanilgan supply-chain hujumi natijasida kripto domenlari xavf ostida qoldi

24-noyabr kuni xavfsizlik firmasi Aikido Shai-Hulud o‘z-o‘zini ko‘paytiruvchi npm qurti ikkinchi to‘lqinini aniqladi, bu 492 ta paketni buzib, birgalikda oyiga 132 million yuklab olishga ega bo‘ldi.

Hujum asosiy ekotizimlarga, jumladan AsyncAPI, PostHog, Postman, Zapier va ENS’ga zarba berdi hamda npm’ning 9-dekabrdagi eski autentifikatsiya tokenlarini bekor qilish muddatidan oldingi so‘nggi haftalardan foydalandi.

Aikido’ning triaj navbati soat 3:16 UTC atrofida buzg‘unchilikni aniqladi, chunki AsyncAPI’ning go-template va unga aloqador 36 ta paketning zararli versiyalari registrda tarqala boshladi.

Hujumchi o‘g‘irlangan autentifikatsiya ma’lumotlari joylashgan repozitoriyalarga “Sha1-Hulud: The Second Coming” deb ta’rif berdi va sentabr kampaniyasidagi teatr brendini saqlab qoldi.

Qurt paket o‘rnatilishi vaqtida Bun runtime’ni o‘rnatadi, so‘ngra TruffleHog yordamida ishlab chiquvchi muhitlarida ochiq sirlarni izlaydigan zararli kodni ishga tushiradi.

Buzilgan API kalitlari, GitHub tokenlari va npm autentifikatsiya ma’lumotlari tasodifiy nomlangan ommaviy repozitoriyalarga joylanadi va zararli dastur yangi zararlangan versiyalarni 100 tagacha qo‘shimcha paketga yuborib, sentabr hujumidan besh barobar ko‘proq tarqalishga harakat qiladi.

Texnik evolyutsiya va vayronkor yuklama

Noyabr versiyasi sentabr hujumidan bir nechta o‘zgartirishlarni o‘z ichiga oladi.
Endi zararli dastur o‘g‘irlangan ma’lumotlar uchun oldindan belgilangan nomlardan foydalanmasdan, tasodifiy yaratilgan nomli repozitoriyalar yaratadi, bu esa ularni olib tashlashni qiyinlashtiradi.

O‘rnatish kodi setup_bun.js orqali Bun’ni o‘rnatadi, so‘ngra asosiy yuklama bo‘lgan bun_environment.js ishga tushiriladi, unda qurt logikasi va autentifikatsiya ma’lumotlarini chiqarib olish tartiblari mavjud.

Eng vayronkor qo‘shimcha: agar zararli dastur o‘g‘irlangan autentifikatsiya ma’lumotlari yordamida GitHub yoki npm’da autentifikatsiyadan o‘ta olmasa, foydalanuvchining home katalogidagi barcha fayllarni o‘chirib tashlaydi.

Aikido tahlili, hujum tarqalishini cheklagan bajarilish xatolarini aniqladi. Qurtni yangi paketlarga to‘liq nusxalash kodi ba’zan bun_environment.js faylini kiritmaydi va faqat Bun o‘rnatish skriptini qoldiradi, zararli yuklamasiz.

Ushbu muvaffaqiyatsizliklarga qaramay, dastlabki buzilishlar katta qiymatga ega bo‘lgan va keng tarqalgan ta’sirga ega bo‘lgan nishonlarga zarba berdi.

AsyncAPI paketlari birinchi to‘lqinda ustunlik qildi, 36 ta buzilgan relizlar, jumladan @asyncapi/cli, @asyncapi/parser va @asyncapi/generator.

PostHog soat 4:11 UTC da ergashdi, posthog-js, posthog-node va o‘nlab plaginlarning zararlangan versiyalari bilan. Postman paketlari soat 5:09 UTC da paydo bo‘ldi.

Zapier buzilishi @zapier/zapier-sdk, zapier-platform-cli va zapier-platform-core’ga ta’sir ko‘rsatdi, ENS buzilishi esa @ensdomains/ensjs, @ensdomains/ens-contracts va ethereum-ens’ga ta’sir qildi.

GitHub branch yaratish repozitoriy darajasidagi kirishni ko‘rsatadi

AsyncAPI jamoasi npm’da buzilgan paketlar paydo bo‘lishidan oldin ularning CLI repozitoriyasida zararli branch yaratilganini aniqladi.

Branch’da Shai-Hulud zararli dasturining joylashtirilgan versiyasi bor edi, bu hujumchi faqat npm tokenlarini o‘g‘irlash emas, balki repozitoriyaga yozish huquqini qo‘lga kiritganini ko‘rsatadi.

Bu eskalatsiya asl Nx buzilishida ishlatilgan texnikani takrorlaydi, unda hujumchilar manba repozitoriyalarini o‘zgartirib, haqiqiy build pipeline’lariga zararli kod joylashtirishgan.

Aikido hozirda 26,300 ta GitHub repozitoriyasi “Sha1-Hulud: The Second Coming” ta’rifi bilan o‘g‘irlangan autentifikatsiya ma’lumotlarini o‘z ichiga olganini taxmin qilmoqda.

Repozitoriyalarda buzilgan paketlarni ishga tushirgan ishlab chiquvchi muhitlaridan ochilgan sirlar, jumladan bulut xizmatlari autentifikatsiya ma’lumotlari, CI/CD tokenlari va uchinchi tomon API’lari uchun kalitlar mavjud.

Ommaviy ma’lumotlarning ochiqligi zarar miqyosini oshiradi: repozitoriyalarni kuzatayotgan har qanday hujumchi real vaqtda autentifikatsiya ma’lumotlarini yig‘ib, ikkilamchi hujumlarni boshlashi mumkin.

Hujum vaqti va yumshatish chorasi

Hujum vaqti npm’ning 15-noyabr kuni 9-dekabrda klassik autentifikatsiya tokenlarini bekor qilishini e’lon qilishi bilan mos keldi.

Hujumchining muddat tugashidan oldin so‘nggi keng ko‘lamli kampaniyani boshlash qarori, token asosidagi buzilishlar uchun imkoniyat oynasi yopilayotganini anglaganini ko‘rsatadi. Aikido jadvaliga ko‘ra, birinchi Shai-Hulud to‘lqini 16-sentabrda boshlangan.

24-noyabr “Second Coming” hujumchining npm migratsiyasi bu kirishni to‘xtatishidan oldin eski tokenlardan foydalanish uchun oxirgi imkoniyatini ifodalaydi.

Aikido xavfsizlik jamoalariga ta’sirlangan ekotizimlardan barcha bog‘liqliklarni, ayniqsa 24-noyabrdan keyin o‘rnatilgan yoki yangilangan Zapier, ENS, AsyncAPI, PostHog va Postman paketlarini tekshirishni tavsiya qiladi.

Tashkilotlar ushbu paketlar mavjud bo‘lgan muhitlarda ishlatilgan barcha GitHub, npm, bulut va CI/CD sirlarini almashtirishlari, shuningdek, GitHub’da “Sha1-Hulud: The Second Coming” ta’rifi bilan repozitoriyalarni qidirib, ichki autentifikatsiya ma’lumotlari ochilgan-yo‘qligini aniqlashlari kerak.

CI pipeline’larda npm postinstall skriptlarini o‘chirib qo‘yish kelajakda o‘rnatish vaqtida bajarilishni oldini oladi, paket versiyalarini lock file’lar bilan mahkamlash esa yangi buzilgan relizlarga ta’sirni cheklaydi.

Malicious worm compromises crypto domains in supply-chain attack posti birinchi bo‘lib CryptoSlate’da paydo bo‘ldi.