Главная
Новости
Подробнее

Вредоносная программа Shai-Hulud заражает пакеты NPM/PyPI и угрожает криптовалютным кошелькам

iconChainGPT
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconСводка

expand icon
Вредоносная программа Shai-Hulud заразила более 320 пакетов NPM и PyPI, затронув более 518 миллионов ежемесячных скачиваний. Угроза нацелена на криптокошельки и облачные учетные данные, недавние инциденты произошли в Mistral AI и OpenAI. Исследователи связывают эту вредоносную программу с TeamPCP, которая ранее похитила 4000 репозиториев GitHub. Новости на блокчейне подчеркивают необходимость усиления проверок зависимостей и использования подписанных релизов. Новости в сфере ИИ и криптовалют демонстрируют растущие риски в открытых экосистемах. Эксперты призывают использовать изолированные среды сборки для предотвращения дальнейшего распространения.

Shai-Hulud: вредоносное ПО, проникающее в цепочки поставок и кошельки криптовалют Скрытная кампания вредоносного ПО под названием «Shai-Hulud» эксплуатирует автоматизированные инструменты, на которые разработчики полагаются при создании и доставке программного обеспечения, и её масштабы вызывают тревогу. Исследователи связали около 320 вредоносных пакетов в репозиториях Node Package Manager (NPM) и PyPI с этой кампанией — пакеты, которые вместе получают более 518 миллионов скачиваний в месяц. Для криптопроектов и любых команд, зависящих от этих экосистем, последствия очевидны: доступ злоумышленников к инструментам разработки может быстро привести к краже облачных учетных данных и криптокошельков. Как распространяется заражение Shai-Hulud не атакует конечных пользователей напрямую. Вместо этого он компрометирует доверенные пакеты и конвейеры сборки, чтобы вредоносное ПО автоматически попадало в последующие проекты в ходе обычных процессов разработки и выпуска. Поскольку вредоносный код часто поступает из легитимных реестров пакетов, имеет действительные подписи и проходит стандартные проверки, он может незаметно смешиваться — что затрудняет обнаружение до тех пор, пока ущерб не будет нанесен. Почему это важно «Современное программное обеспечение строится на основе чужого кода», — сказал Decrypt Джефф Уильямс, технический директор Contrast Security. «Разработчики не просто «скачивают» библиотеки. Они устанавливают их, собирают с их помощью, тестируют с ними, развертывают с ними и в конечном итоге запускают их. И если вы запускаете вредоносную библиотеку, она может делать почти всё, что можете делать вы». Он предупредил, что достижения в области ИИ усугубляют проблему, сравнивая эффект с «превращением компьютера в двойного агента». Реальные инциденты и последствия - В начале мая Microsoft Threat Intelligence сообщила, что злоумышленники внедрили вредоносный код в пакет Mistral AI на PyPI. Вредоносное ПО также загружало файл, имитирующий библиотеку Transformers от Hugging Face, чтобы маскироваться в средах машинного обучения. Позже Mistral заявила, что затронутое устройство разработчика было скомпрометировано, но не обнаружило признаков компрометации собственной инфраструктуры. - Два дня спустя OpenAI подтвердила, что два устройства сотрудников были заражены вредоносным ПО, связанным с Shai-Hulud, что временно дало злоумышленникам доступ к ограниченным внутренним репозиториям кода. Компания сообщила, что не обнаружила доказательств компрометации данных клиентов, производственных систем или интеллектуальной собственности. - Кампания привлекла широкое внимание после атаки 11 мая на TanStack — широко используемый открытый фреймворк JavaScript, который используется во многих веб- и облачных приложениях. Масштаб и участники Исследователи проследили более ранние варианты Shai-Hulud до сентября 2025 года и связали их с киберпреступниками, действующими под ником TeamPCP. Эта преступная группа позже заявила, что похитила около 4000 закрытых репозиториев GitHub и предложила данные на продажу — GitHub заявил, что расследует несанкционированный доступ к внутренним репозиториям. В то же время компания OX Security сообщила о распространении поддельных пакетов, которые крадут учетные данные облачных сервисов и криптокошельков, SSH-ключи и переменные окружения; некоторые варианты также пытаются привлечь зараженные машины в DDoS-ботнеты. Технические детали и признаки атрибуции OX Security отметила, что некоторые новые образцы практически идентичны утекшему исходному коду Shai-Hulud без обфускации, что указывает на то, что разные злоумышленники перепаковывают код, а не разрабатывают новые варианты. Такое повторное использование ускоряет распространение: компрометация небольшого или малоизвестного пакета предоставляет злоумышленнику канал доступа ко всем последующим проектам, которым он доверяет, позволяя осуществлять кражу токенов, публикацию вредоносного кода и повторные циклы заражения. Почему криптопроектам следует обратить внимание Для команд, работающих с блокчейном и криптовалютами, поверхность атаки включает устройства разработчиков, CI/CD, реестры пакетов и автоматизированные системы публикации — области, которые злоумышленники всё чаще нацеливают из-за высокой отдачи. Когда учетные данные кошельков, переменные окружения или ключи API облачных сервисов раскрываются через скомпрометированную зависимость или кэш сборки, злоумышленники могут переместиться из сред разработки в производственные системы и финансовые активы. Практические меры защиты Эксперты подчеркивают, что цепочка поставок программного обеспечения больше не является простой цепочкой, а представляет собой сеть распространения — и меры защиты должны отражать это. Рекомендуемые меры снижения рисков включают: - Ужесточение контроля зависимостей и строгую привязку версий. - Усиление мер защиты при публикации и использование подписанных, проверенных релизов. - Принцип наименьших привилегий для CI/CD и регулярную смену токенов. - Изолированные среды сборки и неизменяемые кэши сборки. - Автоматизированный сканинг на предмет изменения зависимостей и использование потоков угроз для раннего выявления вредоносных пакетов. «Shai-Hulud напоминает нам, что поверхность атаки простирается далеко за пределы традиционных уровней приложений — до открытых пакетов, лежащих в основе современных процессов разработки и развертывания», — сказал Decrypt Йорис ван де Вис, директор по исследованию безопасности SecurityBridge. Для создателей криптопроектов это означает: защита конвейера разработки столь же важна, как и защита смарт-контрактов и кошельков — потому что зараженная сборка может быть самым быстрым путем к компрометации средств. Итог: злоумышленники вооружают доверенную инфраструктуру. Проекты, зависящие от публичных пакетов, автоматизированной CI/CD и общих кэшей сборки, должны внедрять более строгие меры контроля и быструю детекцию, чтобы сохранить безопасность кода и криптовалют.

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.