Platformszintű token-visszavonás
A Socket és az npm szerint a Mini Shai-Hulud supply chain kampány olyan méretet ért el, hogy az npm kénytelen volt platformszintű token-visszavonást végrehajtani. Az incidens során a TeamPCP csoport kompromittált npm csomagokon és GitHub Actions workflow-kon keresztül CI/CD tokeneket és OIDC hitelesítő adatokat lopott, majd ezekkel legitim release pipeline-okat használt fel rosszindulatú csomagok publikálására.
Az npm emiatt minden olyan granular access tokent érvénytelenített, amely írási jogosultsággal rendelkezett és képes volt megkerülni a 2FA-t automatizált workflow-kban. A cél az volt, hogy megszakítsák a worm önterjedő mechanizmusát, amely ellopott tokenekkel automatikusan újabb fertőzött csomagokat publikált.
A kampány különösen veszélyes, mert nem klasszikus credential theftre épült, hanem magukat a CI/CD és trusted publishing infrastruktúrákat használta fegyverként. A támadók GitHub Actions cache poisoningot, pull_request_target hibás konfigurációkat és runner memóriából történő OIDC token extractiont alkalmaztak, így még érvényes SLSA provenance tanúsítványokkal aláírt malware-eket is tudtak publikálni.
Ez az egyik első olyan ellátási lánc hullám, ahol a támadók gyakorlatilag a teljes fejlesztői bizalmi láncot kompromittálták, nem csak egy-egy maintainer accountot. Az npm token-reset ezért inkább vészhelyzeti fékezésnek számít, mint végleges megoldásnak.
