北京
近期發生的第二輪Shai-Hulud攻擊事件,在感染NPM(Node包管理器)倉庫數百個軟件包后,導致約40萬條原始敏感憑證泄露,且被盜數據被公開至3萬個GitHub代碼倉庫中。
盡管開源掃描工具TruffleHog僅驗證出約1萬條泄露憑證為有效狀態,但云安全平臺Wiz的研究人員指出,截至12月1日,超過60%的泄露NPM令牌仍處于有效可用狀態。
從自傳播感染到破壞性.payload
Shai-Hulud威脅最早于9月中旬浮出水面,當時攻擊者通過自傳播惡意載荷攻陷了187個NPM軟件包——該載荷會利用TruffleHog工具識別賬戶令牌,向軟件包中注入惡意腳本并自動在平臺發布。
而在第二輪攻擊中,受惡意軟件影響的軟件包數量超800個(含同一軟件包的所有受感染版本),且惡意程序新增了破壞性機制:當滿足特定條件時,會清空受害者主機的主目錄。
泄露憑證的類型與分布
新 GitHub 賬戶在新倉庫上發布機密信息的速度
Wiz研究人員對Shai-Hulud2.0攻擊擴散至3萬個GitHub倉庫的憑證泄露數據展開分析,發現泄露的敏感信息包含以下類型:
1. 約70%的倉庫中存在contents.json文件,內含GitHub用戶名、令牌及文件快照;
2. 半數倉庫包含truffleSecrets.json文件,存儲了TruffleHog的掃描結果;
3. 80%的倉庫存有environment.json文件,涵蓋操作系統信息、CI/CD元數據、NPM包元數據及GitHub身份憑證;
4. 400個倉庫托管了actionsSecrets.json文件,包含GitHub Actions工作流密鑰。
該惡意軟件調用TruffleHog時未啟用-only-verified參數,這意味著40萬條泄露憑證僅符合已知格式規范,未必仍具備有效性或可使用性。
盡管這批憑證數據存在大量無效信息,需進行大量去重工作,但其中仍包含數百條有效憑證,涵蓋云服務密鑰、NPM令牌及版本控制系統(VCS)身份憑證。截至目前,這些憑證已構成供應鏈進一步遭襲的現實風險,例如研究員監測到超60%的泄露NPM令牌仍處于有效狀態。
感染設備與環境特征
對2.4萬個environment.json文件的分析顯示,約半數文件為唯一實例,其中23%對應開發者本地設備,其余則來自CI/CD運行器等基礎設施。
研究人員匯總的數據表明,87%的受感染設備為Linux系統,而76%的感染案例發生在容器環境中。
在CI/CD平臺分布方面,GitHub Actions占比遙遙領先,其次為Jenkins、GitLab CI及AWS CodeBuild。
受影響的CI/CD平臺
從感染對象來看,受影響最嚴重的軟件包為@postman/tunnel-agent@0.6.7和@asyncapi/specs@6.8.3,這兩款軟件包的感染量合計占所有感染案例的60%以上。
感染包的流行率
研究人員據此認為,若能及早識別并管控這幾個核心軟件包,Shai-Hulud的攻擊影響本可大幅降低。此外,從感染模式來看,99%的感染實例均源于preinstall事件觸發的node setup_bun.js腳本執行,極少數例外情況大概率為攻擊者的測試嘗試。
Wiz認為,Shai-Hulud幕后攻擊者會持續優化并演進攻擊手段,且預計短期內將出現更多攻擊波次,甚至可能利用已竊取的海量憑證發起新一輪攻擊。
參考及來源:https://www.bleepingcomputer.com/news/security/shai-hulud-20-npm-malware-attack-exposed-up-to-400-000-dev-secrets/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
