Dune'dan npm'e: Shai-Hulud Solucanı Supply Chain Riskini Yeniden Tanımlıyor
tarafından
OPSWAT
Bu Gönderiyi Paylaş
Dune hayranları "Shai-Hulud "u, durdurulamaz güçleriyle çölü yeniden şekillendiren devasa kum solucanlarına verilen isim olarak tanıyacaklardır. Şimdi, açık kaynak topluluğu da benzer şekilde zorlu bir siber tehditle karşı karşıya. 15 Eylül'de açık kaynaklı yazılım topluluğu bugüne kadarki en yıkıcı krizlerinden biriyle karşı karşıya kaldı: Shai-Hulud olarak bilinen ve kendi kendini kopyalayan bir solucan, npm ekosisteminde ilerleyerek saatler içinde 180'den fazla paketi tehlikeye attı.
Aşağıdaki gibi güvenilir kütüphaneler @ctrl/tinycolor, crowdstrike-nodejs, string-kit, json-sugar, photon-colors ve çatalları typed.js ve tarih ve saat zaten etkilenmiş durumda. Her hafta milyonlarca indirme ile kuruluşlar farkında olmadan aktif enfeksiyonları doğrudan derleme hatlarına çekiyorlar.
Solucan, GitHub ve genel bulut kimlik bilgilerini çalmak için npm yaşam döngüsü kancalarından yararlanıyor, ardından bu sırları diğer projelere zehirli güncellemeler yayınlamak için kullanıyor.
Saldırı Akışı
Tehlikeli bir versiyonu @ctrl/tinycolor yerel bir kötü amaçlı komut dosyası (bundle.js) enjekte eder.
Bundle.js betiği, kurbanın makinesinde GitHub gizli bilgilerini taramak için TruffleHog'u indirir ve çalıştırır.
Betik, keşfedilen GitHub gizli dizilerini kullanarak erişilebilir depoları (sahip, ortak çalışan veya kuruluş üyesi) listeler.
Her depo için varsayılan dalı getirir, bir shai-hulud şubesine bir iş akışı dosyası yükler ve .github/workflows/shai-hulud-workflow.yml .
İş akışı, push olaylarında tetiklenecek şekilde yapılandırılmıştır. GitHub Actions runner, işi gizli dizilere erişimi olan depo bağlamında yürütür.
İş akışı GitHub gizli bilgilerini okur ve bunları saldırgan kontrolündeki bir uç noktaya sızdırır.
Bu Şimdi ve Uzun Vadede Neden Önemli?
Açık kaynak tasarım gereği açıktır. Npm kayıt defteri her ay yüz milyarlarca indirmeye hizmet eder ve herkes bir paket yayınlayabilir. Bu açıklık yeniliği teşvik eder, ancak aynı zamanda saldırganların güveni geniş ölçekte silahlandırması için fırsatlar yaratır.
Salgın bir gerçeği kaçınılmaz kılıyor: güven kalıcı değildir. Bugün güvenli olan bir paket yarın tehlikeye girebilir.
Öneri: Tam Bağımlılık Sürümlerini Belirtin
Geliştiricilerin en son sürümü otomatik olarak yüklemekten kaçınmalarını şiddetle tavsiye ederiz. Bunun yerine, yüklemek için belirli bir sürüm tanımlayın ve yalnızca doğrulamadan sonra manuel olarak gözden geçirin ve daha yeni sürümlere yükseltin.
veya * ile bildirilen bağımlılıklar, tehlikeye atılmış sürümler de dahil olmak üzere istenmeyen güncellemeleri çekebilir. Kesin, gözden geçirilmiş bir sürüm belirtin:
"dependencies": {
"lodash": "4.17.0"
}
Yeni sürümleri yalnızca özgünlük ve güvenlik açısından doğruladıktan sonra yükseltin.
Şimdi ve Sonraki: Otomasyon ve İnsan Müdahalesinin Dengelenmesi
Şimdi: Acil Müdahale
Sonraki: Uzun Vadeli Dayanıklılık
Otomatik: Npm bağımlılıklarını denetleyin ve birden fazla motorla artifaktları tarayın. İnsan: Geliştiriciler kör yüklemeleri duraklatır ve bağımlılık kaynaklarını manuel olarak onaylar.
Otomatik: Her boru hattına sürekli SBOM doğrulaması ve kötü amaçlı yazılım taraması yerleştirin. İnsan: Güvenlik ekipleri yüksek riskli paketleri düzenli olarak gözden geçirir ve anormallikler ortaya çıktığında bunları gündeme getirir.
Otomatik: Açıkta kalan gizli bilgileri iptal edin ve döndürün. İnsan: Güvenlik ekipleri şüpheli kimlik bilgisi kullanımını değerlendirir ve kontrol altına alma adımlarına karar verir.
Otomatik: Otomatik rotasyon ilkelerini ve en az ayrıcalıklı varsayılanları uygulayın. İnsan: Yöneticiler yönetişim standartlarını belirler ve tedarik zinciri güveni için hesap verebilirliği sağlar.
Otomatik: CI/CD'de MFA ve imza kontrollerini uygulayın. İnsan: Liderler, bütünlüğü korumak için teslimatı ne zaman yavaşlatacaklarına karar verirler.
Otomatik: Tüm sürümler için imzalı taahhütler ve doğrulanabilir derleme kaynağı gerektirir. İnsan: Yönetim kurulları yazılım güvenini bir uyumluluk onay kutusu olarak değil, stratejik bir esneklik sorunu olarak ele alır.
Daha Büyük Resim
Yöneticiler için bu saldırı, yazılım tedarik zinciri riskinin kurumsal bir risk olduğunu hatırlatıyor. Düzenleyiciler doğrulanabilir kontroller, müşteriler ise bütünlüğün kanıtlanmasını beklemektedir. Yönetim kurulları artık kritik operasyonlara güç veren kodun sorumluluğunu erteleyemez.
Uygulayıcılar için salgın, boru hatlarının gelişmesi gerektiğini göstermektedir. Her açık kaynak bağımlılığı, güvenli olduğu kanıtlanana kadar güvenilmez olarak değerlendirilmelidir. SBOM'lar, kötü amaçlı yazılım taramaları ve sterilizasyon temel sağlar, ancak insan farkındalığı -duraklatma, sorgulama, yükseltme- kör otomasyonun bir sonraki solucanı içe aktarmasını engelleyen şeydir.
OPSWAT'ın Bakış Açısı
Supply Chain Güveninin Oluşturulması
Npm gibi açık kaynak ortamlarına yönelik tedarik zinciri saldırıları gibi olaylar, yazılım tedarik zincirlerinin artık kritik iş yükleri olduğunun kanıtıdır. Sektör kör güvenden doğrulanabilir güvene geçmelidir.
George Prichici
Ürünlerden Sorumlu Başkan Yardımcısı, OPSWAT
OPSWAT olarak, tedarik zinciri güveninin varsayılması değil inşa edilmesi gerektiğine inanıyoruz. Yaklaşımımız derinlemesine savunmaya odaklanmaktadır:
Her yazılım bileşenini izlemek, güvenlik açıklarını belirlemek, SDLC boyunca riskleri yönetmek ve her aşamada provenansı doğrulamak için SBOM entegrasyonu ile kapsamlı yazılım tedarik zinciri görünürlüğü.
Özellikle üçüncü taraf açık kaynaklı paketlerdeki polimorfik kötü amaçlı yazılımları ve diğer kötü amaçlı yazılımları yakalamak için 30'dan fazla motorlaMultiscanning .
CDR (Content Disarm and Reconstruction) kötü amaçlı yükleri çalıştırılmadan önce etkisiz hale getirir.
Bu kontroller sadece riski tespit etmekle kalmaz; dosyaları aktif bir şekilde sterilize eder ve güveni zorlayarak bu gibi olayların aşağıya doğru yayılma olasılığını azaltır.
Hızlı geliştirme ve güçlü güvenlik birbirini dışlamaz. Geliştirici ekiplerin, hızı yavaşlatmadan kodu koruyabilmeleri için yazılım tedarik zincirine yerleştirilmiş otomatik tarama ve onay iş akışlarına ihtiyaçları vardır.
George Prichici
Ürünlerden Sorumlu Başkan Yardımcısı, OPSWAT
Gelişime Ayak Uyduran Güvenlik
OPSWAT ile güvenlik, mevcut iş akışlarına doğrudan entegre olur:
CI/CD boru hattı entegrasyonu - Jenkins, GitHub Actions, GitLab ve diğer derleme ortamlarında otomatik taramalar ve ilke uygulaması.
Sorunsuz artifakt taraması - Rutin derleme adımlarının bir parçası olarak npm paketlerini, kapsayıcıları ve ikili dosyaları doğrulayın.
Talep üzerine SBOM oluşturma ve doğrulama - Her sürüm için SBOM'ları otomatik olarak üretin ve doğrulayın, ekstra ek yük olmadan provenans sağlayın.
Şeffaf geliştirici deneyimi - Güvenlik arka planda çalışır ve sorunları yalnızca gerçekten müdahale gerektiğinde ortaya çıkarır.
Otomatik düzeltme kancaları - Güvenliği ihlal edilmiş dosyaları derlemeleri kesintiye uğratmadan karantinaya alın veya sterilize edin.
Hız odaklı geliştirme kültürünün gerekli güvenlik doğrulaması ile çatışması gerekmez; otomatik tarama ve onay iş akışları, geliştirme hızı üzerinde minimum etkiyle bir zorunluluk olmalıdır.
OPSWAT , bu yetenekleri yazılım yaşam döngüsüne dahil ederek kuruluşların hem geliştirme hızına hem de doğrulanabilir güvene ulaşmasına yardımcı olur ki bu da npm olayının artık gerekli olduğunu kanıtladığı bir dengedir.
Shai-Hulud npm solucanı, günümüzde yazılımı şekillendiren tehditlerin açık bir işaretidir. Saldırganların kod tabanınıza girmesine gerek yok. Sizi onları yüklemeye ikna edebilirler. Her eseri doğrulayın, esnekliği her aşamaya yerleştirin ve otomasyon tek başına yeterli olmadığında insanları harekete geçmeleri için yetkilendirin. Bunu şimdi ciddiye alan kuruluşlar, güvenli yazılım tedarik zincirlerinin geleceğini belirleyecektir.
Yazılım tedarik zincirinizi en son siber tehditlere karşı özel, sorunsuz entegre çözümlerle korumaya hazır mısınız?
