Utilizăm inteligența artificială pentru traducerile site-urilor și, deși ne străduim să fim exacți, este posibil ca acestea să nu fie întotdeauna 100% precise. Apreciem înțelegerea dumneavoastră.
Acasă/
Blog
/
De la Dune la npm: viermele Shai-Hulud redefinește...
De la Dune la npm: viermele Shai-Hulud redefinește riscul Supply Chain
de
OPSWAT
Împărtășește această postare
Fanii Dune vor recunoaște "Shai-Hulud" ca fiind numele dat viermilor colosali care remodelează deșertul cu forța lor de neoprit. Acum, comunitatea open-source se confruntă cu o amenințare cibernetică la fel de formidabilă. La 15 septembrie, comunitatea software-ului open-source s-a confruntat cu una dintre cele mai perturbatoare crize de până acum: un vierme autoreplicant, cunoscut sub numele de Shai-Hulud, a trecut prin ecosistemul npm, compromițând peste 180 de pachete în câteva ore.
Biblioteci de încredere, cum ar fi @ctrl/tinycolor, crowdstrike-nodejs, string-kit, json-sugar, photon-colors , și furci de typed.js și data și ora sunt deja afectate. Cu milioane de descărcări în fiecare săptămână, organizațiile introduc în mod inconștient infecții active direct în conductele lor de compilare.
Viermele exploatează cârligele ciclului de viață npm pentru a fura acreditările GitHub și cloud public, apoi utilizează aceste secrete pentru a publica actualizări otrăvite pentru alte proiecte.
Fluxul de atac
O versiune compromisă a @ctrl/tinycolor injectează un script local malițios (bundle.js).
Scriptul bundle.js descarcă și execută TruffleHog pentru a căuta secrete GitHub pe computerul victimei.
Folosind secretele GitHub descoperite, scriptul enumeră depozitele accesibile (proprietar, colaborator sau membru al organizației).
Pentru fiecare depozit, acesta extrage ramura implicită, creează un shai-hulud și încarcă un fișier de flux de lucru la .github/workflows/shai-hulud-workflow.yml .
Fluxul de lucru este configurat pentru a se declanșa la evenimentele push. Executantul acțiunilor GitHub execută activitatea în contextul depozitului, care are acces la secrete.
Fluxul de lucru citește secretele GitHub și le exfiltrează către un endpoint controlat de atacator.
De ce acest lucru este important acum și pe termen lung
Sursa deschisă este deschisă prin design. Registrul npm servește sute de miliarde de descărcări în fiecare lună și oricine poate publica un pachet. Această deschidere stimulează inovarea, dar creează, de asemenea, oportunități pentru atacatori de a folosi încrederea la scară largă.
Epidemia face inevitabil un fapt: încrederea nu este permanentă. Un pachet care este sigur astăzi poate fi compromis mâine.
Recomandare: Specificați versiunile exacte ale dependențelor
Recomandăm insistent dezvoltatorilor să evite instalarea automată a celei mai recente versiuni. În schimb, să definească o versiune specifică de instalat și să revizuiască manual și să actualizeze la versiuni mai noi numai după verificare.
Dependențele declarate cu >= sau * pot atrage actualizări neintenționate, inclusiv versiuni compromise. Specificați o versiune exactă, revizuită:
"dependencies": {
"lodash": "4.17.0"
}
Actualizați numai după validarea noilor versiuni pentru autenticitate și securitate.
Acum vs. Următorul: Echilibrul dintre automatizare și intervenția umană
Acum: Răspuns imediat
Următorul: Reziliența pe termen lung
Automatizat: Auditați dependențele npm și scanați artefactele cu mai multe motoare. Om: Dezvoltatorii opresc instalările oarbe și confirmă manual sursele de dependență.
Automatizat: Integrați validarea SBOM continuă și scanarea malware în fiecare conductă. Om: Echipele de securitate analizează în mod regulat pachetele cu risc ridicat și raportează atunci când apar anomalii.
Automatizat: Revocați și rotiți secretele expuse. Om: Echipele de securitate evaluează utilizarea suspectă a acreditărilor și decid măsurile de limitare.
Automatizat: Aplicați politicile de rotație automată și setările implicite cu cel mai mic privilegiu. Om: Directorii stabilesc standardele de guvernanță și asigură responsabilitatea pentru încrederea în lanțul de aprovizionare.
Automatizat: Aplicați MFA și verificări ale semnăturilor în CI/CD. Om: Liderii decid când să încetinească livrarea pentru a proteja integritatea.
Automatizat: Cereți comitete semnate și o proveniență verificabilă a compilării pentru toate versiunile. Om: Consiliile de administrație tratează încrederea în software ca pe o problemă strategică de reziliență, nu ca pe o casetă de verificare a conformității.
Imaginea de ansamblu
Pentru directorii executivi, acest atac le reamintește că riscul lanțului de aprovizionare cu software este riscul întreprinderii. Autoritățile de reglementare se așteaptă la controale verificabile, iar clienții se așteaptă la dovezi de integritate. Consiliile de administrație nu mai pot amâna răspunderea pentru codul care alimentează operațiunile critice.
Pentru practicieni, epidemia arată că conductele trebuie să evolueze. Fiecare dependență open-source ar trebui tratată ca neîncrezătoare până când se dovedește că este sigură. SBOM-urile, scanările de programe malware și igienizarea oferă o bază de referință, dar conștientizarea umană - pauză, întrebări, escaladare - este ceea ce împiedică automatizarea oarbă să importe următorul vierme.
Perspectiva OPSWAT
Construirea încrederii în Supply Chain
Incidente precum atacurile din lanțul de aprovizionare asupra mediilor open-source precum npm sunt dovada că lanțurile de aprovizionare cu software sunt acum sarcini de lucru critice. Industria trebuie să treacă de la încrederea oarbă la încrederea verificabilă.
George Prichici
Vicepreședinte pentru produse, OPSWAT
La OPSWAT, credem că încrederea în lanțul de aprovizionare trebuie construită, nu asumată. Abordarea noastră se concentrează pe apărarea în profunzime:
Vizibilitate cuprinzătoare a lanțului de aprovizionare software cu integrarea SBOM pentru a urmări fiecare componentă software, a identifica vulnerabilitățile, a gestiona riscurile de-a lungul SDLC și a verifica proveniența în fiecare etapă.
Multiscanning cu peste 30 de motoare pentru a prinde programe malware polimorfe și alte programe malware în pachete, în special în programele open-source terțe.
CDR (Content Disarm and Reconstruction) pentru a neutraliza sarcinile utile malițioase înainte ca acestea să fie executate.
ControaleSecure de stocare și transfer care impun limite de încredere în cadrul conductelor CI/CD.
Aceste controale nu se limitează doar la detectarea riscurilor; ele igienizează în mod activ fișierele și consolidează încrederea, reducând șansele ca incidente precum acesta să se răspândească în aval.
Dezvoltarea rapidă și securitatea puternică nu se exclud reciproc. Echipele de dezvoltatori au nevoie de fluxuri automate de scanare și aprobare integrate în lanțul de aprovizionare cu software, astfel încât să poată proteja codul fără a încetini ritmul.
George Prichici
Vicepreședinte pentru produse, OPSWAT
Securitate care ține pasul cu dezvoltarea
Cu OPSWAT, securitatea se integrează direct în fluxurile de lucru existente:
Integrarea conductelor CI/CD - Scanări automate și aplicarea politicilor în cadrul Jenkins, GitHub Actions, GitLab și alte medii de construcție.
Scanarea fără întreruperi a artefactelor - Validați pachetele npm, containerele și binarele ca parte a pașilor de rutină de compilare.
Generarea și validarea SBOM la cerere - Produceți și verificați SBOM automat pentru fiecare versiune, asigurând proveniența fără costuri suplimentare.
Experiență transparentă pentru dezvoltatori - Securitatea rulează în fundal, semnalând problemele doar atunci când intervenția este cu adevărat necesară.
Cârlige automate de remediere - Puneți în carantină sau igienizați fișierele compromise fără a întrerupe construcțiile.
Cultura de dezvoltare bazată pe viteză nu trebuie să intre în conflict cu validarea de securitate necesară; scanarea automată și fluxurile de lucru de aprobare ar trebui să fie obligatorii, cu un impact minim asupra vitezei de dezvoltare.
Prin încorporarea acestor capacități în ciclul de viață al software-ului, OPSWAT ajută organizațiile să obțină atât viteză de dezvoltare, cât și încredere verificabilă, un echilibru care, conform incidentului npm, este acum esențial.
Viermele npm Shai-Hulud este un semnal clar al amenințărilor care afectează software-ul în prezent. Atacatorii nu trebuie să pătrundă în baza dvs. de cod. Ei vă pot convinge să le instalați. Verificați fiecare artefact, încorporați reziliența în fiecare etapă și împuterniciți oamenii să acționeze atunci când automatizarea singură nu este suficientă. Organizațiile care iau acest lucru în serios acum vor defini viitorul lanțurilor de aprovizionare cu software sigur.
Sunteți pregătit să vă protejați lanțul de aprovizionare cu software de cele mai recente amenințări cibernetice cu soluții personalizate, perfect integrate?
