A helyszíni fordításokhoz mesterséges intelligenciát használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os pontosságúak. Megértését nagyra értékeljük.
Home/
Blog
/
A Dűnétől az npm-ig: Shai-Hulud Féreg újradefiniálja...
A Dűnétől az npm-ig: A Shai-Hulud féreg újradefiniálja az Supply Chain kockázatát
a
OPSWAT
Ossza meg ezt a bejegyzést
A Dűne rajongói felismerik a "Shai-Hulud" nevet, amelyet a sivatagot megállíthatatlan erejükkel átformáló kolosszális homokférgek kaptak. Most a nyílt forráskódú közösség is hasonlóan félelmetes kiberfenyegetéssel néz szembe. Szeptember 15-én a nyílt forráskódú szoftverek közössége az eddigi egyik legmegrendítőbb válsággal szembesült: a Shai-Hulud néven ismert önszaporodó féreg végigvonult az npm ökoszisztémán, és órák alatt több mint 180 csomagot veszélyeztetett.
Megbízható könyvtárak, mint például @ctrl/tinycolor, crowdstrike-nodejs, string-kit, json-sugar, photon-colors , és a typed.js és dátum és idő már érintettek. A hetente több millió letöltéssel a szervezetek tudtukon kívül aktív fertőzéseket vonnak be közvetlenül a build pipeline-ukba.
A féreg az npm életciklus-horgokat kihasználva ellopja a GitHub és a nyilvános felhő hitelesítő adatait, majd ezeket a titkokat arra használja, hogy mérgezett frissítéseket tegyen közzé más projektek számára.
Támadás áramlás
Egy kompromittált verziója @ctrl/tinycolor egy helyi rosszindulatú szkriptet (bundle.js) juttat be.
A bundle.js szkript letölti és végrehajtja a TruffleHog-ot, hogy az áldozat gépén GitHub-titkokat keressen.
A feltárt GitHub-titkok segítségével a szkript felsorolja a hozzáférhető tárolókat (tulajdonos, munkatárs vagy szervezeti tag).
Minden egyes tárolóhoz lekérdezi az alapértelmezett ágat, létrehoz egy shai-hulud ág, és feltölti a munkafolyamat fájlt a .github/workflows/shai-hulud-workflow.yml .
A munkafolyamat úgy van beállítva, hogy push eseményekre indítson. A GitHub Actions futtató a munkát az adattár kontextusában hajtja végre, amely hozzáfér a titkokhoz.
A munkafolyamat kiolvassa a GitHub-titkokat, és kiszivárogtatja azokat egy támadó által ellenőrzött végpontra.
Miért fontos ez most és hosszú távon?
A nyílt forráskód eleve nyitott. Az npm regiszter havonta több százmilliárd letöltést szolgál ki, és bárki közzétehet egy csomagot. Ez a nyitottság ösztönzi az innovációt, de egyben lehetőséget teremt a támadók számára, hogy a bizalmat méretarányosan kihasználják.
A kitörés egy tényt elkerülhetetlenné tesz: a bizalom nem állandó. Egy ma még biztonságos csomag holnap már veszélybe kerülhet.
Ajánlás: Adja meg a pontos függőségi verziókat
Nyomatékosan javasoljuk, hogy a fejlesztők kerüljék a legújabb verzió automatikus telepítését. Ehelyett határozzanak meg egy konkrét telepítendő verziót, és csak ellenőrzés után vizsgálják felül manuálisan, és frissítsenek az újabb verziókra.
A >= vagy * értékkel deklarált függőségek nem szándékos frissítéseket vonzhatnak be, beleértve a kompromittált kiadásokat is. Adjon meg egy pontos, felülvizsgált verziót:
"dependencies": {
"lodash": "4.17.0"
}
Csak az új kiadások hitelességének és biztonságának ellenőrzése után frissítsen.
Most vs. Következő: Az automatizálás és az emberi beavatkozás egyensúlya
Most: Azonnali válasz
Következő: Hosszú távú ellenálló képesség
Automatizált: Az npm függőségek ellenőrzése és a leletek vizsgálata több motorral. Ember: A fejlesztők szüneteltetik a vak telepítéseket, és manuálisan megerősítik a függőségi forrásokat.
Automatizált: Folyamatos SBOM-érvényesítés és rosszindulatú programok ellenőrzése minden csővezetékbe. Ember: A biztonsági csapatok rendszeresen felülvizsgálják a magas kockázatú csomagokat, és anomáliák esetén eszkalálják a helyzetet.
Automatizált: Visszavonja és forgatja a felfedett titkokat. Ember: A biztonsági csapatok értékelik a gyanús hitelesítő adatok használatát, és döntenek a korlátozási lépésekről.
Automatizált: Automatizált rotációs házirendek és a legkisebb jogosultságú alapértelmezett beállítások érvényesítése. Ember: A vezetők meghatározzák az irányítási normákat és biztosítják az elszámoltathatóságot az ellátási láncba vetett bizalomért.
Automatizált: MFA és aláírás-ellenőrzés érvényesítése a CI/CD-ben. Ember: A vezetők eldöntik, hogy mikor kell lassítani a szállítást az integritás védelme érdekében.
Automatizált: Aláírt commitok és ellenőrizhető build provenance megkövetelése minden kiadáshoz. Ember: Az igazgatótanácsok a szoftverek megbízhatóságát stratégiai rugalmassági kérdésként kezelik, nem pedig a megfelelőségre vonatkozó jelölőnégyzetként.
A nagyobb kép
A vezetők számára ez a támadás arra emlékeztet, hogy a szoftverellátási lánc kockázata egyben vállalati kockázat is. A szabályozó hatóságok ellenőrizhető ellenőrzéseket várnak el, az ügyfelek pedig az integritás bizonyítékát. Az igazgatótanácsok nem halogathatják tovább a kritikus műveleteket működtető kódok elszámoltathatóságát.
A szakemberek számára a járvány kitörése azt mutatja, hogy a csővezetékeknek fejlődniük kell. Minden nyílt forráskódú függőséget nem megbízhatónak kell tekinteni, amíg nem bizonyul biztonságosnak. Az SBOM-ok, a rosszindulatú programok vizsgálata és a szanálás biztosítja az alapvonalat, de az emberi tudatosság - szüneteltetés, megkérdőjelezés, eszkalálás - az, ami megakadályozza, hogy a vak automatizálás importálja a következő férget.
Az OPSWATperspektívája
Az Supply Chain bizalmának kiépítése
A nyílt forráskódú környezetek, például az npm elleni ellátási lánc elleni támadásokhoz hasonló incidensek bizonyítják, hogy a szoftverellátási láncok ma már kritikus munkaterhelést jelentenek. Az iparágnak a vak bizalomról az ellenőrizhető bizalomra kell áttérnie.
George Prichici
Termék alelnök, OPSWAT
Az OPSWAT úgy gondoljuk, hogy az ellátási láncba vetett bizalmat ki kell építeni, nem pedig feltételezni. Megközelítésünk a mélységi védelemre összpontosít:
Átfogó szoftverellátási lánc átláthatósága SBOM integrációval, hogy nyomon követhessen minden szoftverkomponenst, azonosíthassa a sebezhetőségeket, kezelhesse a kockázatokat az SDLC teljes időtartama alatt, és ellenőrizhesse a származást minden szakaszban.
Multiscanning mint 30 motorral végzettMultiscanning a polimorfikus és egyéb rosszindulatú programok elkapására a csomagokban, különösen a harmadik féltől származó nyílt forráskódú programokban.
CDR (Content Disarm and Reconstruction) a rosszindulatú hasznos terhek semlegesítésére, mielőtt azok végrehajtódnának.
Secure tárolási és átviteli vezérlések, amelyek a CI/CD csővezetékeken keresztül érvényesítik a bizalmi határokat.
Ezek az ellenőrzések nem csak észlelik a kockázatot; aktívan szanálják a fájlokat és érvényesítik a bizalmat, csökkentve annak esélyét, hogy az ehhez hasonló incidensek továbbterjedjenek.
A gyors fejlesztés és az erős biztonság nem zárja ki egymást. A fejlesztőcsapatoknak a szoftverellátási láncba épített automatizált szkennelési és jóváhagyási munkafolyamatokra van szükségük, hogy a kódot a tempó lassítása nélkül védhessék.
George Prichici
Termék alelnök, OPSWAT
A fejlődéssel lépést tartó biztonság
Az OPSWAT segítségével a biztonság közvetlenül integrálható a meglévő munkafolyamatokba:
CI/CD csővezeték-integráció - Automatizált vizsgálatok és házirend-kényszerítés a Jenkins, GitHub Actions, GitLab és más építési környezetekben.
Zökkenőmentes leletellenőrzés - Az npm csomagok, konténerek és binárisok validálása a rutinszerű építési lépések részeként.
SBOM-generálás és -érvényesítés igény szerint - Minden kiadáshoz automatikusan előállítja és ellenőrzi az SBOM-okat, így biztosítva a származást, extra többletköltségek nélkül.
Átlátható fejlesztői élmény - A biztonság a háttérben fut, és csak akkor jelzi a problémákat, ha valóban szükség van a beavatkozásra.
Automatizált javítási horgok - Karanténba helyezi vagy fertőtleníti a veszélyeztetett fájlokat a buildek megszakítása nélkül.
A sebességvezérelt fejlesztési kultúrának nem kell konfliktusba kerülnie a szükséges biztonsági validációval; az automatizált szkennelési és jóváhagyási munkafolyamatoknak kötelezőnek kell lenniük, minimális hatással a fejlesztési sebességre.
Azáltal, hogy ezeket a képességeket a szoftver életciklusába ágyazza, OPSWAT segíti a szervezeteket a fejlesztési sebesség és az ellenőrizhető bizalom elérésében, amely egyensúlyt az npm incidens bizonyítja, hogy ma már elengedhetetlen.
A Shai-Hulud npm féreg egyértelműen jelzi a szoftvereket napjainkban fenyegető veszélyeket. A támadóknak nem kell betörniük a kódbázisodba. Rávehetik Önt, hogy telepítse őket. Ellenőrizzen minden artefaktumot, ágyazza be a rugalmasságot minden fázisba, és hatalmazza fel az embereket a cselekvésre, ha az automatizálás önmagában nem elég. Azok a szervezetek, amelyek ezt most komolyan veszik, meghatározzák a biztonságos szoftverellátási láncok jövőjét.
Készen áll arra, hogy személyre szabott, zökkenőmentesen integrált megoldásokkal védje meg szoftverellátási láncát a legújabb kiberfenyegetésekkel szemben?
