Sâu độc hại tấn công chuỗi cung ứng, xâm nhập các tên miền crypto

Vào ngày 24 tháng 11, công ty bảo mật Aikido đã phát hiện làn sóng thứ hai của sâu tự nhân bản Shai-Hulud trên npm, làm ảnh hưởng đến 492 gói với tổng số 132 triệu lượt tải xuống hàng tháng.

Cuộc tấn công đã ảnh hưởng đến các hệ sinh thái lớn như AsyncAPI, PostHog, Postman, Zapier và ENS, lợi dụng những tuần cuối cùng trước hạn chót ngày 9 tháng 12 của npm để thu hồi các mã xác thực cũ.

Hàng đợi phân loại của Aikido đã phát hiện sự xâm nhập vào khoảng 3:16 sáng UTC, khi các phiên bản độc hại của go-template của AsyncAPI và 36 gói liên quan bắt đầu lan rộng trên registry.

Kẻ tấn công đã gắn nhãn các kho lưu trữ bị đánh cắp thông tin xác thực với mô tả “Sha1-Hulud: The Second Coming”, duy trì thương hiệu kịch tính từ chiến dịch tháng 9.

Sâu này cài đặt môi trường Bun trong quá trình thiết lập gói, sau đó thực thi mã độc để tìm kiếm các bí mật bị lộ trong môi trường phát triển bằng cách sử dụng TruffleHog.

Các khóa API, token GitHub và thông tin xác thực npm bị xâm phạm sẽ được công khai lên các kho lưu trữ công cộng có tên ngẫu nhiên, và phần mềm độc hại cố gắng lan truyền bằng cách đẩy các phiên bản bị nhiễm mới lên tới 100 gói bổ sung, gấp năm lần quy mô của cuộc tấn công tháng 9.

Tiến hóa kỹ thuật và payload phá hoại

Phiên bản tháng 11 đã giới thiệu một số thay đổi so với cuộc tấn công tháng 9.
Phần mềm độc hại hiện tạo các kho lưu trữ với tên ngẫu nhiên cho dữ liệu bị đánh cắp thay vì sử dụng tên cố định, khiến việc gỡ bỏ trở nên khó khăn hơn.

Mã thiết lập cài đặt Bun thông qua setup_bun.js trước khi thực thi payload chính trong bun_environment.js, nơi chứa logic của sâu và các quy trình trích xuất thông tin xác thực.

Bổ sung phá hoại nhất: nếu phần mềm độc hại không thể xác thực với GitHub hoặc npm bằng thông tin xác thực bị đánh cắp, nó sẽ xóa toàn bộ tệp trong thư mục chính của người dùng.

Phân tích của Aikido cho thấy các lỗi thực thi đã hạn chế sự lan rộng của cuộc tấn công. Mã đóng gói sao chép toàn bộ sâu vào các gói mới đôi khi không bao gồm bun_environment.js, chỉ để lại script cài đặt Bun mà không có payload độc hại.

Mặc dù có những thất bại này, các vụ xâm nhập ban đầu đã nhắm vào các mục tiêu giá trị cao với mức độ ảnh hưởng lớn ở hạ nguồn.

Các gói AsyncAPI chiếm ưu thế trong làn sóng đầu tiên, với 36 bản phát hành bị xâm phạm bao gồm @asyncapi/cli, @asyncapi/parser và @asyncapi/generator.

PostHog theo sau vào lúc 4:11 sáng UTC, với các phiên bản bị nhiễm của posthog-js, posthog-node và hàng chục plugin. Các gói Postman xuất hiện vào lúc 5:09 sáng UTC.

Vụ xâm phạm Zapier ảnh hưởng đến @zapier/zapier-sdk, zapier-platform-cli và zapier-platform-core, trong khi vụ xâm phạm ENS ảnh hưởng đến @ensdomains/ensjs, @ensdomains/ens-contracts và ethereum-ens.

Tạo nhánh GitHub cho thấy quyền truy cập cấp kho lưu trữ

Nhóm AsyncAPI đã phát hiện một nhánh độc hại trong kho lưu trữ CLI của họ được tạo ngay trước khi các gói bị xâm phạm xuất hiện trên npm.

Nhánh này chứa một phiên bản đã triển khai của phần mềm độc hại Shai-Hulud, cho thấy kẻ tấn công đã có quyền ghi vào chính kho lưu trữ thay vì chỉ chiếm đoạt token npm.

Sự leo thang này phản ánh kỹ thuật được sử dụng trong vụ xâm phạm Nx ban đầu, trong đó kẻ tấn công đã sửa đổi kho mã nguồn để chèn mã độc vào quy trình build hợp pháp.

Aikido ước tính rằng hiện có 26.300 kho lưu trữ GitHub chứa thông tin xác thực bị đánh cắp được đánh dấu với mô tả “Sha1-Hulud: The Second Coming”.

Các kho lưu trữ này chứa các bí mật bị lộ từ môi trường phát triển đã chạy các gói bị xâm phạm, bao gồm thông tin xác thực dịch vụ đám mây, token CI/CD và khóa xác thực cho API bên thứ ba.

Bản chất công khai của các rò rỉ này làm tăng mức độ thiệt hại: bất kỳ kẻ tấn công nào theo dõi các kho lưu trữ đều có thể thu thập thông tin xác thực theo thời gian thực và phát động các cuộc tấn công thứ cấp.

Thời điểm tấn công và biện pháp giảm thiểu

Thời điểm này trùng với thông báo ngày 15 tháng 11 của npm rằng họ sẽ thu hồi các mã xác thực cổ điển vào ngày 9 tháng 12.

Lựa chọn phát động một chiến dịch quy mô lớn cuối cùng trước hạn chót cho thấy kẻ tấn công nhận ra rằng cửa sổ cho các cuộc tấn công dựa trên token sắp đóng lại. Dòng thời gian của Aikido cho thấy làn sóng Shai-Hulud đầu tiên bắt đầu vào ngày 16 tháng 9.

Sự kiện “Second Coming” ngày 24 tháng 11 đại diện cho cơ hội cuối cùng của kẻ tấn công để khai thác các token cũ trước khi quá trình chuyển đổi của npm cắt đứt quyền truy cập đó.

Aikido khuyến nghị các nhóm bảo mật kiểm tra tất cả các phụ thuộc từ các hệ sinh thái bị ảnh hưởng, đặc biệt là các gói Zapier, ENS, AsyncAPI, PostHog và Postman đã được cài đặt hoặc cập nhật sau ngày 24 tháng 11.

Các tổ chức nên thay đổi tất cả các bí mật GitHub, npm, đám mây và CI/CD đã sử dụng trong môi trường có các gói này, đồng thời tìm kiếm trên GitHub các kho lưu trữ có mô tả “Sha1-Hulud: The Second Coming” để xác định xem thông tin xác thực nội bộ có bị lộ không.

Vô hiệu hóa các script postinstall của npm trong pipeline CI sẽ ngăn chặn việc thực thi trong quá trình cài đặt trong tương lai, và cố định phiên bản gói bằng lock file sẽ hạn chế việc tiếp xúc với các bản phát hành mới bị xâm phạm.

Bài viết Malicious worm compromises crypto domains in supply-chain attack xuất hiện đầu tiên trên CryptoSlate.