Dua atako kontraŭ pakaĵoj en la NPM-deponejo estis detektita, uzante modifon de la mem-disvastiĝanta vermo Shai-Hulud, kiu enmetas malican programaron en dependecojn. La atako rezultigis la publikigon de malicaj eldonoj de 605 pakaĵoj, kune kun pli ol 100 milionoj da elŝutoj.
Por efektivigi la atakon, la atakantoj uzis fiŝkaptadon por kapti la akreditaĵojn de la kontoprizorganto de populara pakaĵo uzata kiel dependeco por multaj aliaj pakaĵoj. Uzante la ŝtelitan konton, la atakantoj publikigis pakaĵan eldonon enhavantan kodon, kiu aktivigis la vermon kiam la trafita pakaĵo estis instalita kiel dependeco. Post lanĉo, la vermo serĉas la nunan medion por akreditaĵoj, elŝutante kaj lanĉante la ilon TruffleHog.
Se NPM-dosieruja konekto-ĵetono estas detektita, la vermo aŭtomate publikigas novajn malicajn eldonojn por pakaĵoj evoluigitaj en la nuna medio. Ĉi tio ĉen-infektas la tutan dependecan arbon. Aldone al la NPM-ĵetono, la vermo stokas alirŝlosilojn al nubaj servoj GitHub kaj AWS, Azure, kaj GCP (Google Cloud Platform), same kiel mediajn variablojn kaj aliajn sentemajn datumojn detekteblajn per la TruffleHog-skanilo.
Sentemaj datumoj trovitaj en la sistemo estas metitaj sur GitHub per kreado de deponejoj kun hazardaj nomoj (ekz., "qzx15djl71alh6p80h") kaj la frazo "Sha1-Hulud: La Dua Alveno" en la priskribo. La datumoj ankaŭ estas ĉifritaj kaj eligitaj al la protokoloj de GitHub Actions. La kreita deponejo enhavas JSON-dosieron (ekz., jsonactionsSecrets.json aŭ contents.json) enhavantan ĉenon enhavantan base64-koditajn sisteminformojn, mediajn variablojn kaj kaptitajn datumojn. Por komuniki informojn ekstere de GitHub-bazitaj kontinuaj integriĝaj sistemoj, la vermo kreas GitHub Actions-traktilon nomatan ".github/workflows/formatter_123456789.yml" kaj agordas kurilon nomatan SHA1HULUD.
La diferencoj kompare kun simila septembra atako reduktiĝas al malsama metodo por enmeti malican kodon en la pakaĵon. La malicaj eldonoj generitaj de la vermo asertas subteni la Bun JavaScript-platformon. La komando "node setup_bun.js" estas aldonita al la sekcio "preinstall" de la dosiero package.json, kiu difinas skriptojn por funkcii antaŭ instalado.
La dosiero "setup_bun.js" enhavas kodon por efektivigi la malklarigitan skripton "bun_environment.js", kiu enhavas la kodon de la vermo. Por disvastiĝi, la vermo trovas la pakaĵkodon, modifas la dosieron package.json (pliigante la versinumeron kaj inkluzivante vokon al setup_bun.js), aldonas la dosierojn setup_bun.js kaj bun_environment.js, re-pakigas la pakaĵon, kaj efektivigas la komandon "npm publish" por deploji la novan eldonon.
Inter la popularaj pakaĵoj endanĝerigitaj estas: @zapier/zapier-sdk (2.8 milionoj da elŝutoj semajne), @posthog/core (2.8 milionoj), posthog-node (1.5 milionoj), @asyncapi/specs (1.4 milionoj), kaj @postman/tunnel-agent (1.2 milionoj). Oni kredas, ke la atako komenciĝis per endanĝerigo de la pakaĵprizorganto, @asyncapi/specs.
fonto: opennet.ru
