Kompromittált CrowdStrike npm csomagok
A Socket több kompromittált CrowdStrike npm csomagot észlelt a „Shai-Hulud” ellátási lánc támadás részeként, amely mára már közel 500 csomagot érint. A crowdstrike-publisher npm fiók által közzétett több CrowdStrike npm csomag is kompromittálódott. Ez úgy tűnik, hogy a „Shai-Hulud” támadás néven ismert, jelenleg is folyó ellátási láncn kampány folytatása, amely korábban a tinycolor és több mint 40 másik csomagot fertőzött meg. A rosszindulatú program megegyezik a korábbi kampánnyal, amely tartalmaz egy bundle.js szkriptet, amely letölti és futtatja a TruffleHog nevű, legitim szkennert, tokeneket és felhőalapú hitelesítő adatokat keres a host rendszereiben, ellenőrzi az azonosított fejlesztői és CI hitelesítő adatokat, jogosulatlan GitHub Actions munkafolyamatokat hoz létre a tárolókban, illetve érzékeny adatokat szivárogtat ki egy hardcoded webhook végpontra.
Az érintett csomagokat az npm-registry gyorsan eltávolította. A rosszindulatú program tartalmaz egy shai-hulud.yaml nevű munkafolyamat-fájlt, amely utalás a Dune című regényben szereplő homokférgekre. Bár ez nem egyedi utalás, jelenléte megerősíti, hogy a támadó szándékosan „Shai-Hulud” néven jelölte meg a kampányt.
A Socket azonnali intézkedésként javasolja az ismert, jó verziók használatát, amíg a javított kiadások ellenőrzése megtörténik. Emellett javasolt ellenőrizni azokat a környezeteket (CI/CD agentek, fejlesztői laptopok), amelyekre az érintett verziók telepítve vannak, hogy nem történt-e jogosulatlan közzététel vagy hitelesítő adatok lopása. Bizonyos esetekben az npm tokenek cseréje is indokolt lehet. Továbbá javasolt figyelje a naplókat, hogy nem történt-e szokatlan ‘npm publish’ vagy csomagmódosítás.
