VU#534320: Компрометация цепоч... Заметка

VU#534320: Компрометация цепочки поставок NPM выявляет проблемы с обеспечением безопасности экосистемы от кражи учетных данных и самораспространения

В сентябре 2025 года было раскрыто значительное нарушение цепочки поставок npm, получившее название Shai-Hulud. Этот самораспространяющийся вредонос затронул более 500 пакетов npm. Атака использует кражу учетных данных и автоматизированную публикацию пакетов для распространения. Она эксплуатирует известные уязвимости, такие как postinstall скрипты и компрометация платформ CI/CD.Вредонос, вероятно, начал свою работу с выполнения вредоносного файла bundle.js через postinstall скрипт после установки пакета. Затем этот скрипт сканировал и собирал секреты с помощью таких инструментов, как TruffleHog. Украденные учетные данные использовались для публикации вредоноса в других репозиториях, превращая скомпрометированные системы в новые векторы заражения. GitHub Actions был особенно злоупотреблен для автоматизированной троянизации, тактика, которая уже наблюдалась ранее.Последствия включают более 500 скомпрометированных пакетов и потенциальную компрометацию учетной записи npm компании CrowdStrike. GitHub и CISA выпустили рекомендации по этому инциденту. Для смягчения последствий пользователи npm должны аудировать и заменять скомпрометированные пакеты, фиксировать зависимости с помощью package-lock.json и рассмотреть возможность использования внутренних зеркал. Также рекомендуется по возможности отключать postinstall скрипты. Разработчики должны сменить скомпрометированные учетные данные и применять принципы наименьших привилегий в средах CI/CD.