Μια μαζική επίθεση εφοδιαστικής αλυσίδας που βασίζεται σε JavaScript μέσω του Node Package Manager (npm) έχει διεισδύσει σε βιβλιοθήκες κώδικα που συνδέονται με την Υπηρεσία Ονομάτων Ethereum ($ENS) και εκατοντάδες παλαιότερα πακέτα λογισμικού. Σύμφωνα με την εταιρεία κυβερνοασφάλειας Aikido Security, η επίθεση αυτή, γνωστή ως “Shai-Hulud: $THE Second Coming”, έχει μολύνει εκατοντάδες πακέτα και περισσότερα από 25.000 αποθετήρια στο GitHub.

Ο Charlie Eriksen, ερευνητής κακόβουλου λογισμικού στην Aikido Security, αποκάλυψε ότι οι επιτιθέμενοι έχουν ενσωματώσει κακόβουλο κώδικα σε πάνω από 490 πακέτα npm με περισσότερες από 132 εκατομμύρια μηνιαίες λήψεις, συμπεριλαμβανομένων γνωστών πακέτων από το $ENS, το Zapier, το AsyncAPI, το Browserbase και το Postman.

Η επίθεση Shai-Hulud 2.0 συνεχίζεται, με τους επιτιθέμενους να εισάγουν κακόβουλο κώδικα σε δημοσιευμένες εκδόσεις, ενεργοποιούμενη κατά την προεγκατάσταση για να αποκτήσουν εκτέλεση κώδικα και να εξάγουν μεταβλητές περιβάλλοντος. “Αν ένας προγραμματιστής εγκαταστήσει ένα από αυτά τα κακά πακέτα, το κακόβουλο λογισμικό εκτελείται σιωπηλά κατά την εγκατάσταση, πριν ολοκληρωθεί οτιδήποτε”, δήλωσε ο Eriksen.

Η κακόβουλη επίθεση Shai-Hulud αποκτά πρόσβαση στη μηχανή του προγραμματιστή ή στο περιβάλλον cloud κατά την εγκατάσταση. Στη συνέχεια, αναπτύσσει ένα αυτοματοποιημένο εργαλείο που ονομάζεται TruffleHog για να σαρώσει ευαίσθητα δεδομένα, όπως κωδικούς πρόσβασης, API keys, cloud Tokens και διαπιστευτήρια GitHub ή NPM. Οποιαδήποτε πληροφορία ανακαλύπτεται ανεβαίνει σε ένα δημόσιο αποθετήριο GitHub με τίτλο “Shai-Hulud: $THE Second Coming”. Αν τα κλεμμένα διαπιστευτήρια περιλαμβάνουν πρόσβαση σε αποθετήρια κώδικα ή μητρώα πακέτων, οι επιτιθέμενοι μπορούν να τα εκμεταλλευτούν για να παραβιάσουν επιπλέον λογαριασμούς και να διανείμουν περισσότερα κακόβουλα πακέτα, επιτρέποντας στην επίθεση να εξαπλωθεί περαιτέρω.

Η αρχική παραβίαση Shai-Hulud συνέβη νωρίς τον Σεπτέμβριο, σημειώνοντας την μεγαλύτερη επίθεση npm που έχει καταγραφεί μέχρι τότε, με τους χάκερ να κλέβουν 50 εκατομμύρια δολάρια σε κρυπτονόμισμα. Ο Ledger, κατασκευαστής hardware wallet, σημείωσε ότι αυτή η πρώτη επίθεση ακολούθησε με τον ιό Shai Hulud να εξαπλώνεται αυτόνομα μια εβδομάδα αργότερα. Ωστόσο, η μέθοδος διείσδυσης για αυτό το δεύτερο κύμα φαίνεται να είναι σημαντικά διαφορετική.

Ο Charles Guillemet, Διευθυντής Τεχνολογίας στην Ledger, προειδοποίησε την κοινότητα ότι το κακόβουλο λογισμικό στοχεύει επίσης API keys, Git credentials και μυστικά CI/CD, και στη συνέχεια εξάγει σιωπηλά τα πάντα. “Αν χρησιμοποιείτε επηρεαζόμενα πακέτα: ΠΑΡΑΚΑΛΩ ελέγξτε το προσεκτικά: θεωρήστε ότι τα διαπιστευτήρια και τα μυστικά σας έχουν παραβιαστεί, ελέγξτε την υποδομή σας και αλλάξτε τα διαπιστευτήριά σας”, προειδοποίησε.

Ο Florian Roth, επικεφαλής έρευνας στην Nextron Systems, πρόσθεσε ότι γίνεται ολοένα και πιο εύκολο για τους επιτιθέμενους να εισάγουν κακόβουλο λογισμικό σε ευαίσθητα συστήματα λόγω των τυφλών σημείων στα πακέτα npm. Σύμφωνα με την εκτίμησή του, η βιομηχανία προηγουμένως πολεμούσε το κακόβουλο λογισμικό σε επίπεδο λειτουργικού συστήματος, αλλά τώρα η ίδια συμπεριφορά συμβαίνει ένα επίπεδο πιο πάνω, μέσα στα οικοσυστήματα λογισμικού που οι άνθρωποι εμπιστεύονται καθημερινά.

Ο JP Richardson, Διευθύνων Σύμβουλος της Exodus, αμφισβήτησε τη Microsoft για το γεγονός ότι καθιστά “εύκολο” για τους επιτιθέμενους να διαδώσουν κακόβουλο λογισμικό. Σε μια ανάρτηση στις 24 Νοεμβρίου, ο Richardson δήλωσε: “Αυτό που δεν καταλαβαίνω είναι γιατί η Microsoft (ιδιοκτήτης του npm) δεν κινείται γρήγορα για να ανιχνεύσει αυτές τις επιθέσεις.” Πιστεύει ότι οποιοδήποτε πακέτο που έχει προεγκατεστημένο ή μεταγενέστερο σενάριο θα πρέπει να εμφανίζει προειδοποιήσεις σε όλους στον ιστότοπο npm και πριν από την εγκατάσταση του πακέτου.

Για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε τις παρακάτω πηγές: