Rinn a’ chnuimh Shai-Hulud cron air 600 pasgan NPM.

Chaidh dàrna ionnsaigh a lorg air pacaidean ann an stòr-dàta NPM, a’ cleachdadh atharrachadh air a’ chnuimh Shai-Hulud a bhios a’ sgaoileadh fhèin agus a chuireas malware a-steach do eisimeileachdan. Mar thoradh air an ionnsaigh chaidh 605 pasganan fhoillseachadh, le còrr air 100 millean luchdachadh sìos còmhla.

Gus an ionnsaigh a dhèanamh, chleachd an luchd-ionnsaigh fiosgaich gus teisteanasan neach-gleidhidh cunntais pasgan mòr-chòrdte a chaidh a chleachdadh mar eisimeileachd airson mòran phasganan eile a ghlacadh. A’ cleachdadh a’ chunntais a chaidh a thoirt am bruid, dh’fhoillsich an luchd-ionnsaigh brath-naidheachd pacaid anns an robh còd a chuir an cnuimh an gnìomh nuair a chaidh am pasgan air an robh buaidh a stàladh mar eisimeileachd. Aon uair ‘s gu bheil e air a chuir air bhog, bidh an cnuimh a’ sgrùdadh na h-àrainneachd làithreach airson teisteanasan, a’ luchdachadh sìos agus a’ ruith an goireas TruffleHog.

Ma lorgar comharra ceangail eòlaire NPM, bidh a’ chnuimh gu fèin-ghluasadach a’ foillseachadh fiosan droch-rùnach ùra airson pacaidean a chaidh a leasachadh san àrainneachd làithreach. Bidh an t-sreath seo a’ galarachadh a’ chraobh eisimeileachd gu lèir. A bharrachd air an comharra NPM, bidh a’ chnuimh a’ stòradh iuchraichean ruigsinneachd gu seirbheisean sgòthan GitHub agus AWS, Azure, agus GCP (Google Cloud Platform), a bharrachd air caochladairean àrainneachd agus dàta mothachail eile a ghabhas lorg leis an sganair TruffleHog.

Thèid dàta mothachail a lorgar san t-siostam a chur air GitHub le bhith a’ cruthachadh stòran-dàta le ainmean air thuaiream (me, "qzx15djl71alh6p80h") agus an abairt "Sha1-Hulud: The Second Coming" anns an tuairisgeul. Tha an dàta cuideachd air a chrioptachadh agus air a chur a-mach gu logaichean GitHub Actions. Tha faidhle JSON (me, jsonactionsSecrets.json no contents.json) anns an stòr-dàta a chaidh a chruthachadh anns a bheil sreang anns a bheil fiosrachadh siostaim le còd base64, caochladairean àrainneachd, agus dàta glacte. Gus fiosrachadh a chur an cèill gu taobh a-muigh bho shiostaman amalachaidh leantainneach stèidhichte air GitHub, bidh an cnuimh a’ cruthachadh làimhsichear GitHub Actions leis an ainm ".github/workflows/formatter_123456789.yml" agus a’ rèiteachadh ruitheadair leis an ainm SHA1HULUD.

Tha na h-eadar-dhealachaidhean bho ionnsaigh coltach ris san t-Sultain a’ tighinn sìos gu dòigh eadar-dhealaichte air còd droch-rùnach a chuir a-steach don phacaid. Tha na fiosan droch-rùnach a chruthaich an cnuimh ag ràdh gu bheil iad a’ toirt taic do àrd-ùrlar JavaScript Bun. Tha an àithne "node setup_bun.js" air a chur ris an earrann "preinstall" den fhaidhle package.json, a tha a’ mìneachadh sgriobtaichean ri ruith mus tèid an stàladh.

Tha còd anns an fhaidhle "setup_bun.js" gus an sgriobt falaichte "bun_environment.js" a ruith, anns a bheil còd a’ chnuimh. Gus a sgaoileadh, lorgaidh a’ chnuimh còd a’ phacaid, atharraichidh i am faidhle package.json (a’ meudachadh àireamh an tionndaidh agus a’ toirt a-steach gairm gu setup_bun.js), cuiridh i na faidhlichean setup_bun.js agus bun_environment.js ris, ath-phacaicheas i am pasgan, agus ruithidh i an àithne "npm publish" gus an sgaoileadh ùr a chleachdadh.

Am measg nam pasganan mòr-chòrdte a tha air an sàrachadh tha: @zapier/zapier-sdk (2.8 millean luchdachadh sìos gach seachdain), @posthog/core (2.8 millean), posthog-node (1.5 millean), @asyncapi/specs (1.4 millean), agus @postman/tunnel-agent (1.2 millean). Thathar a’ creidsinn gun do thòisich an ionnsaigh le sàrachadh air neach-gleidhidh a’ phacaid, @asyncapi/specs.

Source: fosgailtenet.ru