自我复制蠕虫袭击180余个软件包,供应链安全再响警钟
自我复制蠕虫袭击180余个软件包
专家警告,JavaScript代码库NPM中至少187个代码包感染了一种自我复制蠕虫,该恶意软件会窃取开发者凭证并将这些密钥公开发布在GitHub上。这款恶意软件曾短暂感染安全供应商CrowdStrike的多个代码包,且每次感染包被安装时都会窃取并发布更多凭证。
这款新型恶意软件被命名为“Shai-Hulud”——源自弗兰克·赫伯特《沙丘》小说系列中的巨型沙虫名称——因为它会在新的公开GitHub代码库中发布所有窃取的凭证,且代码库名称包含“Shai-Hulud”。
比利时安全公司Aikido的研究员Charlie Eriksen表示:“当开发者安装受感染的软件包时,恶意软件会在环境中寻找npm令牌。如果找到,它将修改该npm令牌有权访问的20个最流行软件包,将自身复制到包中并发布新版本。”
这场风暴的中心是NPM(Node Package Manager的缩写)上提供的代码库,该平台作为JavaScript开发的中心枢纽,为广泛使用的JavaScript组件提供最新更新。
Shai-Hulud蠕虫出现前几天,未知攻击者发起了一场广泛的网络钓鱼活动,该活动冒充NPM并要求开发者“更新”其多因素身份验证登录选项。那次攻击导致恶意软件被插入至少二十多个NPM代码包中,但疫情迅速得到控制,且主要专注于窃取加密货币支付。
8月下旬,另一起NPM开发者遭入侵事件导致恶意软件被添加到“nx”中,这是一个开源代码开发工具包,每周下载量高达600万次。在nx入侵事件中,攻击者引入了代码,该代码会在用户设备上搜索来自GitHub和NPM等程序员目的地以及SSH和API密钥的身份验证令牌。但恶意nx代码没有将这些窃取的凭证发送到攻击者控制的中央服务器,而是在受害者的GitHub帐户中创建了一个新的公共代码库,并将窃取的数据发布在那里,供全世界查看和下载。
上个月对nx的攻击没有像蠕虫那样自我传播,但这款Shai-Hulud恶意软件确实可以自我传播,并捆绑了侦察工具以协助其传播。即,它使用开源工具TruffleHog搜索开发者机器上暴露的凭证和访问令牌。然后它尝试创建新的GitHub操作并发布任何窃取的密钥。
“一旦第一个人被感染,就无法阻止它,”Aikido的Eriksen告诉KrebsOnSecurity。他表示,此蠕虫入侵的第一个NPM软件包似乎是在9月14日世界标准时间17:58左右被修改的。
专注于安全的代码开发平台socket.dev报告称,Shai-Halud攻击短暂入侵了CrowdStrike管理的至少25个NPM代码包。Socket.dev表示,受影响的软件包已由NPM注册表快速移除。
在分享给KrebsOnSecurity的书面声明中,CrowdStrike表示,在检测到公共NPM注册表中的几个恶意软件包后,公司迅速将其移除并轮换了其在公共注册表中的密钥。
声明称:“这些软件包未在Falcon传感器中使用,平台未受影响,客户仍受到保护,”声明指的是该公司广泛使用的端点威胁检测服务。“我们正在与NPM合作并进行彻底调查。”
StepSecurity对此次攻击的分析发现,对于云特定操作,恶意软件会枚举AWS、Azure和Google Cloud Platform密钥。分析还发现,整个攻击设计假设受害者是在Linux或macOS环境中工作,并且故意跳过Windows系统。
StepSecurity表示,Shai-Hulud通过使用被盗的NPM身份验证令牌进行传播,将其代码添加到受害者帐户中前20个软件包。
StepSecurity的Ashish Kurmi写道:“这产生了连锁效应,受感染的软件包导致维护者凭证泄露,进而感染该用户维护的所有其他软件包。”
Eriksen表示,Shai-Hulud仍在传播,尽管其传播速度最近几小时似乎已减弱。
“我仍然不时看到软件包版本弹出,但在过去约6小时内没有新的软件包被感染,”Eriksen说。“但随着东海岸开始工作,情况可能会发生变化。我几乎将这次攻击视为一个‘活物’,就像病毒一样。因为它可以休眠一段时间,如果只是一个人意外感染,他们可能会重新开始传播。特别是如果存在超级传播者攻击。”
Eriksen表示,目前,攻击者用于外泄收集数据的网址似乎因速率限制而被禁用。
Nicholas Weaver是加利福尼亚州伯克利非营利组织国际计算机科学研究所的研究员。Weaver称Shai-Hulud蠕虫是“进行供应链攻击的供应链攻击”。Weaver表示,NPM(及所有其他类似软件包存储库)需要立即切换到一种发布模型,该模型要求使用防网络钓鱼的双因素认证方法对每个发布请求进行明确的人工同意。
“任何不足都意味着此类攻击将继续并变得更加普遍,但切换到双因素认证方法将在这些攻击传播之前有效遏制它们,”Weaver说。“允许纯自动化流程更新已发布的软件包现在已被证明是灾难的根源。”
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号