AI Hacking - Hogyan használják a hackerek a mesterséges intelligenciát a kibertámadásokban?

Olvassa el most
A helyszíni fordításokhoz mesterséges intelligenciát használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os pontosságúak. Megértését nagyra értékeljük.
Home/ Blog / A Dűnétől az npm-ig: Shai-Hulud Féreg újradefiniálja...
Ellátási lánc biztonság

A Dűnétől az npm-ig: A Shai-Hulud féreg újradefiniálja az Supply Chain kockázatát

a OPSWAT
Ossza meg ezt a bejegyzést

A Dűne rajongói felismerik a "Shai-Hulud" nevet, amelyet a sivatagot megállíthatatlan erejükkel átformáló kolosszális homokférgek kaptak. Most a nyílt forráskódú közösség is hasonlóan félelmetes kiberfenyegetéssel néz szembe. Szeptember 15-én a nyílt forráskódú szoftverek közössége az eddigi egyik legmegrendítőbb válsággal szembesült: a Shai-Hulud néven ismert önszaporodó féreg végigvonult az npm ökoszisztémán, és órák alatt több mint 180 csomagot veszélyeztetett.

Megbízható könyvtárak, mint például @ctrl/tinycolor, crowdstrike-nodejs, string-kit, json-sugar, photon-colors , és a typed.js és dátum és idő már érintettek. A hetente több millió letöltéssel a szervezetek tudtukon kívül aktív fertőzéseket vonnak be közvetlenül a build pipeline-ukba.

A féreg az npm életciklus-horgokat kihasználva ellopja a GitHub és a nyilvános felhő hitelesítő adatait, majd ezeket a titkokat arra használja, hogy mérgezett frissítéseket tegyen közzé más projektek számára.

Támadás áramlás

  1. Egy kompromittált verziója @ctrl/tinycolor egy helyi rosszindulatú szkriptet (bundle.js) juttat be.
  2. A bundle.js szkript letölti és végrehajtja a TruffleHog-ot, hogy az áldozat gépén GitHub-titkokat keressen.
  3. A feltárt GitHub-titkok segítségével a szkript felsorolja a hozzáférhető tárolókat (tulajdonos, munkatárs vagy szervezeti tag).
  4. Minden egyes tárolóhoz lekérdezi az alapértelmezett ágat, létrehoz egy shai-hulud ág, és feltölti a munkafolyamat fájlt a .github/workflows/shai-hulud-workflow.yml .
  5. A munkafolyamat úgy van beállítva, hogy push eseményekre indítson. A GitHub Actions futtató a munkát az adattár kontextusában hajtja végre, amely hozzáfér a titkokhoz.
  6. A munkafolyamat kiolvassa a GitHub-titkokat, és kiszivárogtatja azokat egy támadó által ellenőrzött végpontra.

Miért fontos ez most és hosszú távon?

A nyílt forráskód eleve nyitott. Az npm regiszter havonta több százmilliárd letöltést szolgál ki, és bárki közzétehet egy csomagot. Ez a nyitottság ösztönzi az innovációt, de egyben lehetőséget teremt a támadók számára, hogy a bizalmat méretarányosan kihasználják.

A kitörés egy tényt elkerülhetetlenné tesz: a bizalom nem állandó. Egy ma még biztonságos csomag holnap már veszélybe kerülhet.

Most vs. Következő: Az automatizálás és az emberi beavatkozás egyensúlya

Most: Azonnali válaszKövetkező: Hosszú távú ellenálló képesség
Auditálás npm függőségek és a leleteket több motorral vizsgálja.
  • Folyamatos SBOM-érvényesítés és rosszindulatú programok ellenőrzése minden csővezetékbe.
  • Minden csomagot kezeljen megbízhatatlanként, amíg nem bizonyítottan tiszta (pl. MetaDefender Software Supply Chain vagy hasonló). Automatizálja a leletvizsgálatot minden csomag esetében.
A fejlesztők szüneteltetik a vak telepítéseket, és manuálisan megerősítik a függőségi forrásokat.
  • A biztonsági csapatok rendszeresen felülvizsgálják a magas kockázatú csomagokat, és anomáliák esetén eszkalálják a helyzetet.
  • Kerülje a legújabb verzió automatikus telepítését; adja meg a pontos verziókat, és csak ellenőrzés után frissítsen: npm install <package name>@<package version>
  • Secure csomagkezelők - használja pnpm vagy npm.
  • Telepítse a --ignore-scripts a kockázatos telepítés utáni szkriptek blokkolásához.
  • Késleltetett és ellenőrzött frissítések - pl., minimum-release-age-age + pnpm audit.
Visszavonja és forgatja a felfedett titkokat.Automatizált rotációs házirendek és a legkisebb jogosultságú alapértelmezett beállítások érvényesítése.
A biztonsági csapatok értékelik a gyanús hitelesítő adatok használatát, és döntenek a korlátozási lépésekről.A vezetők meghatározzák az irányítási normákat és biztosítják az elszámoltathatóságot az ellátási láncba vetett bizalomért.
MFA és aláírás-ellenőrzés érvényesítése a CI/CD-ben.Aláírt commitok és ellenőrizhető build provenance megkövetelése minden kiadáshoz.
A vezetők eldöntik, hogy mikor kell lassítani a szállítást az integritás védelme érdekében.Az igazgatótanácsok a szoftverek megbízhatóságát stratégiai rugalmassági kérdésként kezelik, nem pedig a megfelelőségre vonatkozó jelölőnégyzetként.

A nagyobb kép

A vezetők számára ez a támadás arra emlékeztet, hogy a szoftverellátási lánc kockázata egyben vállalati kockázat is. A szabályozó hatóságok ellenőrizhető ellenőrzéseket várnak el, az ügyfelek pedig az integritás bizonyítékát. Az igazgatótanácsok nem halogathatják tovább a kritikus műveleteket működtető kódok elszámoltathatóságát.

A szakemberek számára a járvány kitörése azt mutatja, hogy a csővezetékeknek fejlődniük kell. Minden nyílt forráskódú függőséget nem megbízhatónak kell tekinteni, amíg nem bizonyul biztonságosnak. Az SBOM-ok, a rosszindulatú programok vizsgálata és a szanálás biztosítja az alapvonalat, de az emberi tudatosság - szüneteltetés, megkérdőjelezés, eszkalálás - az, ami megakadályozza, hogy a vak automatizálás importálja a következő férget.

Az OPSWATperspektívája

Az Supply Chain bizalmának kiépítése

ikon idézet

A nyílt forráskódú környezetek, például az npm elleni ellátási lánc elleni támadásokhoz hasonló incidensek bizonyítják, hogy a szoftverellátási láncok ma már kritikus munkaterhelést jelentenek. Az iparágnak a vak bizalomról az ellenőrizhető bizalomra kell áttérnie.

George Prichici, az OPSWAT termékekért felelős alelnöke, fejlécképe
George Prichici
Termék alelnök, OPSWAT

Az OPSWAT úgy gondoljuk, hogy az ellátási láncba vetett bizalmat ki kell építeni, nem pedig feltételezni. Megközelítésünk a mélységi védelemre összpontosít:

  • Átfogó szoftverellátási lánc átláthatósága SBOM integrációval, hogy nyomon követhessen minden szoftverkomponenst, azonosíthassa a sebezhetőségeket, kezelhesse a kockázatokat az SDLC teljes időtartama alatt, és ellenőrizhesse a származást minden szakaszban.
  • Multiscanning mint 30 motorral végzettMultiscanning a polimorfikus és egyéb rosszindulatú programok elkapására a csomagokban, különösen a harmadik féltől származó nyílt forráskódú programokban.
  • Adaptive Sandbox: A mesterséges intelligencia által vezérelt elemzés, amely gyorsan felismeri még a legelkerülőbb rosszindulatú szoftvereket is.
  • Secure tárolási és átviteli ellenőrzések, amelyek a CI/CD-csatornákon keresztül érvényesítik a bizalmi határokat.
  • Ezek az ellenőrzések nem csak észlelik a kockázatot; aktívan szanálják a fájlokat és érvényesítik a bizalmat, csökkentve annak esélyét, hogy az ehhez hasonló incidensek továbbterjedjenek.
ikon idézet

A gyors fejlesztés és az erős biztonság nem zárja ki egymást. A fejlesztőcsapatoknak a szoftverellátási láncba épített automatizált szkennelési és jóváhagyási munkafolyamatokra van szükségük, hogy a kódot a tempó lassítása nélkül védhessék.

George Prichici, az OPSWAT termékekért felelős alelnöke, fejlécképe
George Prichici
Termék alelnök, OPSWAT

A fejlődéssel lépést tartó biztonság

Az OPSWAT segítségével a biztonság közvetlenül integrálható a meglévő munkafolyamatokba:

  • CI/CD csővezeték-integráció - Automatizált vizsgálatok és házirend-kényszerítés a Jenkins, GitHub Actions, GitLab és más építési környezetekben. Az npm csomagok, konténerek és binárisok validálása a rutinszerű építési lépések részeként.
  • SBOM-generálás és -érvényesítés igény szerint - Minden kiadáshoz automatikusan előállítja és ellenőrzi az SBOM-okat, így biztosítva a származást, extra többletköltségek nélkül.
  • Átlátható fejlesztői élmény - A biztonság a háttérben fut, és csak akkor jelzi a problémákat, ha valóban szükség van a beavatkozásra.
  • Automatizált javítási horgok - Karanténba helyezi vagy fertőtleníti a veszélyeztetett fájlokat a buildek megszakítása nélkül.

A sebességvezérelt fejlesztési kultúrának nem kell konfliktusba kerülnie a szükséges biztonsági validációval; az automatizált szkennelési és jóváhagyási munkafolyamatoknak kötelezőnek kell lenniük, minimális hatással a fejlesztési sebességre.

Azáltal, hogy ezeket a képességeket a szoftver életciklusába ágyazza, OPSWAT segíti a szervezeteket a fejlesztési sebesség és az ellenőrizhető bizalom elérésében, amely egyensúlyt az npm incidens bizonyítja, hogy ma már elengedhetetlen.

Bővebben

A Takeaway

A Shai-Hulud npm féreg egyértelműen jelzi a szoftvereket napjainkban fenyegető veszélyeket. A támadóknak nem kell betörniük a kódbázisodba. Rávehetik Önt, hogy telepítse őket. Ellenőrizzen minden artefaktumot, ágyazza be a rugalmasságot minden fázisba, és hatalmazza fel az embereket a cselekvésre, ha az automatizálás önmagában nem elég. Azok a szervezetek, amelyek ezt most komolyan veszik, meghatározzák a biztonságos szoftverellátási láncok jövőjét.

Készen áll arra, hogy személyre szabott, zökkenőmentesen integrált megoldásokkal védje meg szoftverellátási láncát a legújabb kiberfenyegetésekkel szemben?

Beszéljen egy szakértővel

További források

Címkék:

Legutóbbi hozzászólások

Iratkozzon fel az OPSWAT hírlevélre

Kapja meg az OPSWAT legfrissebb vállalati frissítéseit, valamint eseményinformációkat és az iparágat előrevivő hírekről.
Sign Me Up

Kövessen minket a közösségi oldalakon Media

Kövesse az OPSWAT oldalt a LinkedIn-en, Facebookon, Twitteren és YouTube-on!

Maradjon naprakész az OPSWAT oldalon!

Iratkozzon fel még ma, hogy értesüljön a vállalat legfrissebb híreiről, történetekről, eseményinformációkról és sok másról.
Feliratkozás