Wiz විසින් Shai-Hulud 2 worm විශ්ලේෂණයේ ප්රතිඵල ප්රකාශයට පත් කර ඇති අතර, එය NPM ගබඩාවට පැකේජ 800 කට අධික සංඛ්යාවක ද්වේෂ සහගත නිකුතු, එනම් බාගත කිරීම් මිලියන 100 කට වඩා ප්රකාශයට පත් කර ඇත. ආසාදිත පැකේජයක් ස්ථාපනය කිරීමෙන් පසු, සක්රිය කරන ලද worm සංවේදී දත්ත සොයමින්, නව ද්වේෂ සහගත නිකුතු ප්රකාශයට පත් කරයි (NPM නාමාවලි සම්බන්ධතා ටෝකනයක් අනාවරණය කරගත් පසු), සහ GitHub හි නව ගබඩාවන් නිර්මාණය කිරීමෙන් පද්ධතිය තුළ ඇති සංවේදී දත්ත ප්රසිද්ධියේ ප්රවේශ විය හැකිය.
පණුවා විසින් අල්ලා ගන්නා ලද දත්ත අඩංගු ගබඩා 30 කට වඩා GitHub හි හඳුනාගෙන ඇත. මෙම ගබඩාවලින් ආසන්න වශයෙන් 70% ක content.json ගොනුවක්, 50% ක truffleSecrets.json ගොනුවක් සහ 80% ක environment.json ගොනුවක් අඩංගු වූ අතර, worm අඩංගු ද්වේෂසහගත පැකේජය ස්ථාපනය කළ සංවර්ධකයාගේ පද්ධතියේ ඇති ප්රවේශ යතුරු, සංවේදී දත්ත සහ පරිසර විචල්යයන් අඩංගු විය. මෙම ගබඩාවල GitHub Actions ක්රියාත්මක කිරීමේ පරිසරවල ඇති යතුරු අඩංගු actionsSecrets.json ගොනු 400 ක් පමණ අඩංගු විය.
contents.json ගොනු වල GitHub වෙත සම්බන්ධ වීම සඳහා අනන්ය අක්තපත්ර සහ ටෝකන 500කට වඩා අඩංගු විය. truffleSecrets.json ගොනු වල TruffleHog උපයෝගීතාව අවදානමට ලක් වූ පද්ධතියේ ක්රියාත්මක කිරීමෙන් සොයාගත් සංවේදී දත්ත අඩංගු විය. විවිධ සේවා, වලාකුළු පරිසර, නිෂ්පාදන සහ දත්ත සමුදා කළමනාකරණ පද්ධතිවල භාවිතා වන ප්රවේශ යතුරු, සංකේතාංකන යතුරු, මුරපද සහ ටෝකන ඇතුළුව දත්ත වර්ග 800කට වඩා උපයෝගිතා රැස් කරයි. සමස්තයක් වශයෙන්, truffleSecrets.json හි අනන්ය වාර්තා 400කට වඩා හමු වූ අතර, ඉන් ආසන්න වශයෙන් 2.5% (~10000) සත්යාපනය කරන ලදී.
බොහෝ දත්ත වලංගුව පවතින බැවින්, කාන්දු වූ රහස්ය තොරතුරු නව ප්රහාර රැල්ලක ආරම්භක ලක්ෂ්යය බවට පත්විය හැකි බව විශ්වාස කෙරේ. උදාහරණයක් ලෙස, විගණනයකින් පෙන්නුම් කළේ පණුවා විසින් ආසාදනය කරන ලද පද්ධති වලින් අල්ලා ගන්නා ලද NPM ප්රවේශ ටෝකන වලින් 60% ක් වලංගුව පවතින බවයි.
බලපෑමට ලක් වූ පද්ධති වලින් පරිසර විචල්යයන් විශ්ලේෂණය කිරීම මත පදනම් වූ සාමාන්ය සංඛ්යාලේඛන ද වාර්තාව සපයයි. worm දියත් කිරීම් වලින් 23% ක් සංවර්ධක යන්ත්ර මත සිදු වූ අතර 77% ක් අඛණ්ඩ ඒකාබද්ධ පරිසරවල සිදු විය (60% GitHub Actions, 5% Jenkins, 5% GitLab CI, 3% AWS CodeBuild). භාවිතා කරන ලද පද්ධති වලින් 87% ක් Linux, 12% — macOS සහ 1% - Windows... දියත් කිරීම් වලින් 76% ක් බහාලුම්වල වූ අතර 13% ක් ප්රධාන පද්ධතිවල විය.
සියලුම ආසාදන වලින් 60% ක්ම සිදුවී ඇත්තේ @postman/tunnel-agent-0.6.7 සහ @asyncapi/specs-6.8.3 පැකේජවල අනිෂ්ට නිකුතු ස්ථාපනය කිරීම හේතුවෙනි. අවස්ථා 99% කදී, package.json හි පූර්ව ස්ථාපනය කොටසේ දක්වා ඇති "node setup_bun.js" විධානය ක්රියාත්මක කිරීමෙන් worm සක්රිය කරන ලදී (ඉතිරි 1% පරීක්ෂණ උත්සාහයන් නිසා විය හැකිය).
මූලාශ්රය: opennet.ru
