HackerNews 编译,转载请注明出处:
上周,网络安全专家和科技公司对一次广泛的软件供应链入侵事件发出警报。这次事件涉及“Shai-Hulud”——一种自我复制的蠕虫,被用于感染500多个嵌入在各种软件中的包。
本周,美国联邦政府发布警告,称发生了一起黑客事件,攻击者入侵了数百个开发人员用于构建软件的包。美国网络安全与基础设施安全局(CISA)表示,黑客在获得初始访问权限后,“部署了恶意软件来扫描环境中的敏感凭证”。攻击者的目标是 GitHub 个人访问令牌(PATs)和主要云服务的应用程序接口(API)密钥。
随后,恶意软件被用来窃取凭证,将其上传到公共代码库,并利用自动化流程快速传播,将恶意代码注入到其他包中。
CISA敦促所有机构对使用 npm 包生态系统的软件进行全面审查,重点检查可能受到影响的特定文件。该机构补充说,所有开发者的凭证都应及时更换,并且要警惕异常的网络行为。
GitHub 安全研究高级总监表示,他们于9月14日接到“Shai-Hulud”攻击的通知,并追踪到事件源自某个未具名维护者的账户被攻破。
René-Corail 在周一解释称:“由于这种蠕虫结合了自我复制功能与窃取多种秘密(不仅仅是 npm 令牌)的能力,如果不是 GitHub 与开源维护者及时采取行动,这可能会引发无休止的攻击浪潮。”
GitHub 表示,在事件发生后,公司立即将500个受感染的包从 npm 注册库中移除,以防止恶意软件进一步传播。同时,GitHub 阻止了包含妥协指标(IoC)的新包上传,以切断自我复制的传播模式。
René-Corail 写道:“此类入侵破坏了对开源生态系统的信任,直接威胁到整个软件供应链的完整性与安全性。它们也凸显了为什么需要提高认证与安全发布的标准,以增强 npm 生态系统抵御未来攻击的能力。”
被污染的“构建模块”
网络安全公司 Wiz 的首席安全研究员 在接受 Recorded Future News 采访时表示,开发者日常依赖大量的小型软件构建模块(即“包”)来完成工作。
在这起事件中,黑客在部分构建模块中植入了恶意代码。他指出,这并非罕见情况。但这次的恶意代码会搜索“秘密”信息,例如密码、令牌和配置文件,有时甚至暴露原本应保持私密的项目。
McCarthy 强调:“这次事件的独特之处,也是更糟糕的地方在于,恶意代码还会尝试传播。它会检查其运行的每台机器,寻找该机器所控制的其他包。一旦找到,就会更新这些新包,使其同样带有恶意代码。这是一个供应链软件蠕虫,而且是我们在这个生态系统中首次见到成功的案例。”
这种供应链攻击的危险之处在于,一旦秘密信息泄露,攻击者就能迅速冒充服务、进入内部系统并篡改代码。由于攻击是自动扩散的,一个被攻陷的点可能会迅速演变成大规模的灾难。
McCarthy 还补充说,这次攻击的起点源于一起早前的秘密信息泄露事件,这也说明了秘密一旦暴露会带来持久的风险,以及组织必须立即采取应对措施的紧迫性。
“Shai-Hulud”事件是本月发生的第二起大规模开源安全事故,目前研究人员仍在不断发现更多遭到破坏的 npm 包。
消息来源:therecord.media;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
