导语:在第二轮攻击中,受恶意软件影响的软件包数量超800个(含同一软件包的所有受感染版本)。
上周发生的第二轮Shai-Hulud攻击事件,在感染NPM(Node包管理器)仓库数百个软件包后,导致约40万条原始敏感凭证泄露,且被盗数据被公开至3万个GitHub代码仓库中。
尽管开源扫描工具TruffleHog仅验证出约1万条泄露凭证为有效状态,但云安全平台Wiz的研究人员指出,截至12月1日,超过60%的泄露NPM令牌仍处于有效可用状态。
从自传播感染到破坏性.payload
Shai-Hulud威胁最早于9月中旬浮出水面,当时攻击者通过自传播恶意载荷攻陷了187个NPM软件包——该载荷会利用TruffleHog工具识别账户令牌,向软件包中注入恶意脚本并自动在平台发布。
而在第二轮攻击中,受恶意软件影响的软件包数量超800个(含同一软件包的所有受感染版本),且恶意程序新增了破坏性机制:当满足特定条件时,会清空受害者主机的主目录。
泄露凭证的类型与分布
新 GitHub 账户在新仓库上发布机密信息的速度
Wiz研究人员对Shai-Hulud2.0攻击扩散至3万个GitHub仓库的凭证泄露数据展开分析,发现泄露的敏感信息包含以下类型:
1. 约70%的仓库中存在contents.json文件,内含GitHub用户名、令牌及文件快照;
2. 半数仓库包含truffleSecrets.json文件,存储了TruffleHog的扫描结果;
3. 80%的仓库存有environment.json文件,涵盖操作系统信息、CI/CD元数据、NPM包元数据及GitHub身份凭证;
4. 400个仓库托管了actionsSecrets.json文件,包含GitHub Actions工作流密钥。
该恶意软件调用TruffleHog时未启用-only-verified参数,这意味着40万条泄露凭证仅符合已知格式规范,未必仍具备有效性或可使用性。
尽管这批凭证数据存在大量无效信息,需进行大量去重工作,但其中仍包含数百条有效凭证,涵盖云服务密钥、NPM令牌及版本控制系统(VCS)身份凭证。截至目前,这些凭证已构成供应链进一步遭袭的现实风险,例如研究员监测到超60%的泄露NPM令牌仍处于有效状态。
感染设备与环境特征
对2.4万个environment.json文件的分析显示,约半数文件为唯一实例,其中23%对应开发者本地设备,其余则来自CI/CD运行器等基础设施。
研究人员汇总的数据表明,87%的受感染设备为Linux系统,而76%的感染案例发生在容器环境中。
在CI/CD平台分布方面,GitHub Actions占比遥遥领先,其次为Jenkins、GitLab CI及AWS CodeBuild。
受影响的CI/CD平台
从感染对象来看,受影响最严重的软件包为@postman/[email protected]和@asyncapi/[email protected],这两款软件包的感染量合计占所有感染案例的60%以上。
感染包的流行率
研究人员据此认为,若能及早识别并管控这几个核心软件包,Shai-Hulud的攻击影响本可大幅降低。此外,从感染模式来看,99%的感染实例均源于preinstall事件触发的node setup_bun.js脚本执行,极少数例外情况大概率为攻击者的测试尝试。
Wiz认为,Shai-Hulud幕后攻击者会持续优化并演进攻击手段,且预计短期内将出现更多攻击波次,甚至可能利用已窃取的海量凭证发起新一轮攻击。
文章来源自:https://www.bleepingcomputer.com/news/security/shai-hulud-20-npm-malware-attack-exposed-up-to-400-000-dev-secrets/如若转载,请注明原文地址
