TanStack layihəsinin GitHub Actions buraxılış prosesini pozmaqla, hakerlər TanStack yığınından NPM depolarına 42 NPM paketinin 84 zərərli versiyasını dərc edə biliblər. Zərər çəkmiş paketlərin bəziləri həftədə 10 milyondan çox dəfə yüklənib.
Buraxılış nəşrinə giriş, GitHub Actions-da səhv pull_request_target "Pwn Request" ayarı (parametrlərdə maska göstərmək, üçüncü tərəf forklarına pull requestləri üçün pull_request_target-in işə salınmasına səbəb oldu), GitHub Actions keşini fork vasitəsilə zəhərləmək və /proc/ məzmununu oxuyaraq işləyən bir çalışan prosesinin (Runner.Worker) yaddaşından OIDC tokenini çıxarmaq imkanı səbəbindən əldə edildi. /xatirə.
Zərərli modifikasiyalı NPM paketləri 11 may tarixində saat 22:20 ilə 22:26 (MSK) arasında dərc edilib, 20 dəqiqə sonra aşkar edilib və bir saat yarım sonra bloklanıb. Təsirə məruz qalan hər bir NPM paketinin iki zərərli versiyası buraxılıb və hər biri mövcud mühitdə tokenlər və etimadnamələr axtaran mini-shai-hulud qurdunu aktivləşdirmək üçün kod ehtiva edir. NPM qovluğuna qoşulma tokeni aşkar edilərsə, qurd avtomatik olaraq mövcud mühitdə hazırlanan paketlər üçün yeni zərərli buraxılışlar dərc edib və bu da asılılıq ağacına təsir edib. TanStack paketlərini asılılıq kimi istifadə edən 400-dən çox NPM paketi bu şəkildə təsirlənib.
Qurd router_init.js faylına quraşdırılıb və təsirlənmiş paket geliştirici tərəfindən əl ilə və ya "npm install", "pnpm install" və ya "yarn install" əmrlərindən istifadə edərək avtomatik olaraq davamlı inteqrasiya mühitində quraşdırıldıqda aktivləşdirilib. Aktivləşdirildikdən sonra qurd sistemdə NPM (~/.npmrc), AWS, GCP, Azure, HashiCorp və KubernetesK8s üçün tokenlər, eləcə də SSH şəxsi açarları axtarıb. Tapdığı məlumatlar mərkəzləşdirilməmiş P2P messenceri getsession.org vasitəsilə hücum edənlərə göndərilib.
Qurd, ləğv edilmiş NPM tokeni halında dağıdıcı hərəkətlər etmək üçün hazırlanmışdır. Sistem, ~/.local/bin/gh-token-monitor.sh skriptini vaxtaşırı işə salmaq üçün konfiqurasiya edilmişdir. skript hər 60 saniyədə api.github.com/user saytına daxil olaraq tokenin fəaliyyətini yoxlayır və tokenin ləğvi halında "rm -rf ~/" əmrini yerinə yetirirdi.
Mənbə: opennet.ru
