ማልዌርን ወደ ጥገኞች የሚያስገባውን እራሱን የሚያሰራጭ የሻይ-ሁሉድ ትል ማሻሻያ በመጠቀም በNPM ማከማቻ ውስጥ ባሉ ጥቅሎች ላይ ሁለተኛ ጥቃት ተገኝቷል። ጥቃቱ ከ100 ሚሊዮን በላይ ማውረዶችን በማያያዝ የ605 ፓኬጆችን ተንኮል አዘል ህትመቶችን አስከትሏል።
ጥቃቱን ለመፈጸም፣ አጥቂዎቹ ለብዙ ሌሎች ፓኬጆች ጥገኝነት ጥቅም ላይ የሚውለውን የታዋቂ ፓኬጅ አካውንት ጠባቂ ምስክርነቶችን ለመጥለፍ ማስገርን ተጠቅመዋል። የተጠለፈውን አካውንት በመጠቀም አጥቂዎቹ የተጎዳው ፓኬጅ እንደ ጥገኝነት ሲጫን ትሉን የሚሰራ ኮድ የያዘ የጥቅል ልቀት አሳትመዋል። አንዴ ከተጀመረ ትል ትሩፍሆግ አገልግሎትን በማውረድ እና በማሄድ ለመረጃዎች አሁን ያለውን አካባቢ ይፈልጋል።
የNPM ማውጫ ግንኙነት ቶከን ከተገኘ ትሉ አሁን ባለው አካባቢ ለተዘጋጁ ጥቅሎች አዲስ ተንኮል አዘል ልቀቶችን ያትማል። ይህ ሰንሰለት ሙሉውን የጥገኝነት ዛፍ ይጎዳል. ከኤንፒኤም ማስመሰያ በተጨማሪ ትል የ GitHub እና AWS፣ Azure እና GCP (Google Cloud Platform) የደመና አገልግሎቶችን እንዲሁም በTruffleHog ስካነር ሊታወቅ የሚችል የአካባቢ ተለዋዋጮች እና ሌሎች ሚስጥራዊ መረጃዎችን የመዳረሻ ቁልፎችን ያከማቻል።
በስርዓቱ ውስጥ የተገኘ ሚስጥራዊነት ያለው መረጃ በ GitHub ላይ የተቀመጠው በዘፈቀደ ስሞች (ለምሳሌ "qzx15djl71alh6p80h") እና በመግለጫው ውስጥ "Sha1-Hulud: ሁለተኛው መምጣት" የሚለውን ሐረግ በመፍጠር ነው. ውሂቡም ተመስጥሯል እና ወደ GitHub Actions ምዝግብ ማስታወሻዎች ይወጣል። የተፈጠረው ማከማቻ የJSON ፋይል (ለምሳሌ jsonactionsSecrets.json ወይም contents.json) ቤዝ64-የተመሰጠረ የስርዓት መረጃን፣ የአካባቢ ተለዋዋጮችን እና የተያዘ ውሂብን የያዘ ሕብረቁምፊ ይዟል። መረጃን ከ GitHub ላይ ከተመሠረቱ ተከታታይ የውህደት ስርዓቶች በውጪ ለማድረስ፣ ትል ".github/workflows/formatter_123456789.yml" የሚባል የ GitHub Actions ተቆጣጣሪ ይፈጥራል እና SHA1HULUD የሚባል ሯጭ ያዋቅራል።
ከተመሳሳይ የሴፕቴምበር ጥቃት ልዩነቶች ወደ ማሸጊያው ውስጥ ተንኮል አዘል ኮድ የማስገባት ዘዴ ወደ ተለየ ዘዴ ይወርዳሉ። በትል የተፈጠሩት ተንኮል አዘል ልቀቶች የቡን ጃቫስክሪፕት መድረክን እንደሚደግፉ ይናገራሉ። "node setup_bun.js" የሚለው ትዕዛዝ በ pack.json ፋይል "ቅድመ ጫን" ክፍል ላይ ተጨምሯል፣ ይህም ከመጫኑ በፊት የሚሄዱትን ስክሪፕቶች ይገልጻል።
የ"setup_bun.js" ፋይል የተደበቀ "bun_environment.js" ስክሪፕት ለማስፈጸም ኮድ ይዟል፣ እሱም የትል ኮድ ይዟል። ለማባዛት ትሉ የጥቅል ኮዱን ያገኛል፣የPack.json ፋይልን ያስተካክላል (የስሪት ቁጥሩን በመጨመር እና ወደ setup_bun.js ጥሪን ጨምሮ) የ setup_bun.js እና bun_environment.js ፋይሎችን ይጨምራል፣ ጥቅሉን እንደገና ይጠቅላል እና አዲሱን ልቀት ለማሰማራት የ"npm print" ትዕዛዙን ያስፈጽማል።
የተጠለፉ ታዋቂ ጥቅሎች @zapier/zapier-sdk (በሳምንት 2.8 ሚሊዮን ማውረዶች)፣ @posthog/core (2.8 ሚሊዮን)፣ ፖስትሆግ-ኖድ (1.5 ሚሊዮን)፣ @asyncapi/specs (1.4 ሚሊዮን) እና @ፖስትማን/ቶንል-ኤጀንት (1.2 ሚሊዮን) ያካትታሉ። ጥቃቱ የጀመረው በጥቅል ጠባቂ @asynapi/specs ስምምነት እንደሆነ ይታመናል።
ምንጭ: opennet.ru
