Обнаружена масштабная кампания по компрометации пакетов, получившая название Shai-Hulud. Изначально злонамеренное обновление было распространено через более чем 40 пакетов, включая критически важный @ctrl/tinycolor с еженедельной статистикой загрузок, превышающей 2,2 миллиона. К вечеру того же дня число заражённых пакетов превысило 500, среди которых оказались и компоненты, связанные с компанией CrowdStrike.
Описание
Атака демонстрирует беспрецедентный уровень автоматизации и способность к самораспространению. Вредоносный код, внедрённый в пакеты, использует функцию NpmModule.updatePackage для автоматического процесса троянизации: загружает архив пакета, модифицирует package.json, добавляет локальный скрипт (bundle.js), повторно собирает и публикует обновлённую версию в репозитории npm. Это позволяет злоумышленникам массово заражать все пакеты, принадлежащие скомпрометированному maintainer-у.
При установке такого пакета скрипт bundle.js автоматически выполняется. Его первым действием становится запуск легитимного инструмента TruffleHog, предназначенного для поиска секретов и учётных данных в системе. Скрипт сканирует переменные окружения, включая GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID и AWS_SECRET_ACCESS_KEY, а также обращается к метаданным облачных провайдеров для получения временных учётных данных.
Далее происходит валидация найденных учётных записей разработчиков и CI-систем, внедрение workflow в GitHub Actions и отправка собранных данных через вебхук. Кроме того, malware делает все репозитории GitHub, доступные под компрометированным аккаунтом, публичными, что значительно увеличивает риски утечки интеллектуальной собственности и критичной инфраструктуры.
Особенностью Shai-Hulud является её червеподобное поведение. В отличие от классических атак на supply chain, эта кампания не ограничивается единичным пакетом - каждый заражённый компонент становится новым вектором распространения, что позволяет злоумышленникам быстро расширять воздействие на всю экосистему.
Компания Truesec уже зафиксировала случаи эксплуатации в своих SOC (Security Operations Center - центр управления безопасностью) и в естественной среде. Аналитики проводят активный поиск угроз для всех клиентов под управлением Truesec SOC.
В качестве мер реагирования специалисты рекомендуют отключить выполнение скриптов «postinstall» в средах разработки и CI/CD, удалить или зафиксировать версии пакетов на проверенных сборках, выполнить аудит систем на наличие несанкционированных публикаций и ротировать все токены npm и другие секреты, которые могли быть раскрыты. Также необходимо мониторить логи на предмет подозрительной активности, связанной с публикацией пакетов.
Индикаторы компрометации
URLs
- https://webhook.site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7
SHA256
- 46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09
- 4b2399646573bb737c4969563303d8ee2e9ddbd1b271f1ca9e35ea78062538db
- 81d2a004a1bca6ef87a1caf7d0e0b355ad1764238e40ff6d1b1cb77ad4f595c3
- 83a650ce44b2a9854802a7fb4c202877815274c129af49e6c2d1d5d5d55c501e
- b74caeaa75e077c99f7d44f46daaf9796a3be43ecf24f2a1fd381844669da777
- dc67467a39b70d1cd4c1f7f7a459b35058163592f4a9e8fb4dffcbba98ef210c
- de0e25a3e6c1e1e5998b306b7141b3dc4c0088da9d7bb47c1c00c91e6e4f85d6
