一场持续的供应链攻击已危及CrowdStrike发布的多个npm包,这延续了一场名为“沙伊-哈路德攻击”的恶意活动。
这一事件涉及此前用于攻击热门的tinycolor软件包的同一种恶意软件,凸显了开源生态系统中供应链漏洞带来的持续威胁。
npm 注册表迅速采取行动移除了受影响的包,但仍敦促开发者和组织立即采取措施,以减轻潜在损害。
此次妥协源自crowdstrike-publisher npm账户,经确认是Shai-Halud 供应链攻击活动的延续。
所部署的恶意软件与在tinycolor事件中观察到的完全相同,这表明威胁行为者采用了一致的作案手法。
此次攻击的核心是植入受感染软件包中的恶意bundle.js脚本。该脚本一旦执行,就会启动一个多阶段进程,旨在窃取敏感凭证并在受害者环境中建立持久存在。
据Socket称,该脚本首先会下载并运行TruffleHog,这是一款合法的开源工具</b0,旨在扫描机密信息和凭证。
通过利用一个受信任的工具,攻击者试图在躲避检测的同时,在主机系统中搜索API令牌和云凭证等有价值的资产。
一旦被发现,这些秘密将被验证以确保它们处于活动状态。然后,恶意软件在受感染的存储库中创建未经授权的GitHub Actions工作流,使攻击者能够保持访问并自动化进一步的恶意活动。所有泄露的数据都被发送到攻击者控制的硬编码网络钩子端点。
持续的npm供应链攻击
Socket表示,在此次攻击中,大量的软件包及特定版本受到了影响,涉及CrowdStrike的一系列开发工具。
受影响的包包括多个版本的@crowdstrike/commitlint、@crowdstrike/glide-core、@crowdstrike/logscale-dashboard和eslint-config-crowdstrike等。
| 包名 | 受影响的版本 |
|---|---|
@crowdstrike/commitlint |
8.1.18.1.2 |
@crowdstrike/falcon-shoelace |
|
@crowdstrike/foundry-js |
|
@crowdstrike/glide-core |
0.34.20.34.3 |
@crowdstrike/logscale-dashboard |
|
@crowdstrike/logscale-file-editor |
|
@crowdstrike/logscale-parser-edit |
1.205.1、1.205.2 |
@crowdstrike/logscale-search |
|
@crowdstrike/tailwind-toucan-base |
恶意的bundle.js文件的SHA-256哈希值已被确认为46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09。
CrowdStrike的一位发言人告诉《网络安全新闻》:“在第三方开源代码库——公共NPM registry中发现多个恶意的Node Package Manager(NPM)包后,我们迅速将其移除,并主动更换了公共registry中的密钥。”
“这些软件包未在Falcon传感器中使用,该平台未受影响,客户仍受到保护。我们正与NPM合作,进行全面调查。”
强烈建议各组织对可能安装了恶意软件包的CI/CD流水线、开发人员的笔记本电脑以及其他任何环境进行彻底审计。
这些系统上暴露的任何npm令牌或其他机密都应立即更换。此外,持续监控日志中是否存在异常的npm publish事件或未经授权的包修改,对于检测任何后续活动至关重要。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
