Shai-Hulud: зловмисне ПЗ, що поширюється через ланцюжок постачання та потрапляє до розробницьких пайплайнів — і до криптовалютних гаманців Стихійна кампанія зловмисного ПЗ під назвою «Shai-Hulud» експлуатує автоматизовані інструменти, на які розробники покладаються для створення та розгортання програмного забезпечення, і її масштаби тривожні. Дослідники пов’язали близько 320 зловмисних записів пакетів у репозиторіях Node Package Manager (NPM) та PyPI з цією кампанією — пакети, які разом отримують понад 518 мільйонів завантажень щомісяця. Для криптовалютних проектів та будь-яких команд, що залежать від цих екосистем, наслідки очевидні: отримавши доступ до інструментів розробника, зловмисники можуть швидко вкрасти облікові дані хмари та криптовалютні гаманці. Як поширюється інфекція Shai-Hulud не атакує кінцевих користувачів безпосередньо. Замість цього він компрометує довірені пакети та збірні пайплайни, щоб зловмисне ПЗ автоматично потрапляло до проектів нижчого рівня під час нормальних процесів розробки та випуску. Оскільки зловмисний код часто походить із легітимних реєстрів пакетів, має дійсні підписи та проходить стандартні перевірки, він може непомітно злитися — що ускладнює виявлення, поки шкода не буде завдана. Чому це важливо «Сучасне програмне забезпечення створюється шляхом запуску чужого коду», — сказав Джефф Вільямс, CTO Contrast Security, Decrypt. «Розробники не просто «завантажують» бібліотеки. Вони встановлюють їх, збирають з ними, тестують з ними, розгортають з ними і, нарешті, виконують їх. І якщо ви запускаєте зловмисну бібліотеку, вона може робити майже все, що й ви». Він попередив, що досягнення в галузі ШІ лише поглиблюють проблему, порівнюючи ефект із «перетворенням комп’ютера на подвійного агента». Реальні інциденти та наслідки - На початку травня Microsoft Threat Intelligence повідомила, що зловмисники вставили шкідливий код у пакет Mistral AI на PyPI. Зловмисне ПЗ також завантажувало файл, схожий на бібліотеку Transformers від Hugging Face, щоб злитися з середовищами машинного навчання. Пізніше Mistral заявила, що постраждав пристрій одного з розробників, але не було знайдено доказів компрометації власної інфраструктури. - Два дні потому OpenAI підтвердила, що два пристрої співробітників були заражені зловмисним ПЗ, пов’язаним із Shai-Hulud, що надало зловмисникам тимчасовий доступ до обмеженої кількості внутрішніх репозиторіїв коду. Компанія повідомила, що не було знайдено доказів компрометації даних клієнтів, продуктивних систем чи інтелектуальної власності. - Кампанія привернула ширшу увагу після атаки 11 травня на TanStack — популярний відкритий JavaScript-фреймворк, який використовується в багатьох веб-та хмарних додатках. Масштаб та діячі Дослідники встановили, що ранні версії Shai-Hulud сягають вересня 2025 року, і пов’язали їх із кiberзлочинцями, які діють під назвою TeamPCP. Ця угрупування пізніше заявило, що вкрали близько 4 000 приватних репозиторіїв GitHub і пропонують дані на продаж — GitHub каже, що розслідує несанкціонований доступ до внутрішніх репозиторіїв. Маркетингова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фахова фаховая Технічні зауваження та ознаки атрибуції OX Security зауважила, що деякі нові зразки майже ідентичні витекшому джерельному коду Shai-Hulud без обфускації, що свідчить про те, що різні діячі повторно використовують код замість розробки нових версій. Таке повторне використання прискорює поширення: компрометація невеликого чи маловідомого пакету надає зловмиснику канал доступу до кожного проекту нижчого рівня, який йому довіряє, дозволяючи красти токени, публікувати шкодливий код та проводити повторні цикли отруєння. Чому криптовалютним проектам слід звертати увагу Для команд блокчейну та криптовалют атакувана поверхня включає пристрої розробників, CI/CD, реєстри пакетів та автоматизовані системи публiкацiї — областi, якими все частiше захищаються зловмисники через їхню високу ефективнiсть. Коли облiковi данi гаманця, змiннi середовища чи ключi API хмари витекають через скомпрометований залежний компонент або кеш збирання, зловмисники можуть перейти вiд середовищ розробки до продуктивних систем та активiв. Практичнi заходи захисту Експерти наголошують, що ланцюжок постачання програмного забезпечення бiльше не є просто ланцюжком — це мережа поширення, і захист має враховувати це. Рекомендованi заходи: - Жорсткий контроль залежностей та точне закрiплення версiй. - Покращенi заходи безпеки при публiкацiї та пiдписанi, перевiренi релiзи. - Принцип мiнiмальних прав для CI/CD та регулярна змiна токенiв. - Ізольованi середовища збирання та незмiннi кешi збирання. - Автоматизоване сканування на манiпуляцiї залежностями та живi джерела інтелекту про загрози для раннього виявлення шкодливих пакетiв. «Shai-Hulud — це нагадування про те, що атакувана поверхня простягається далеко за межi традицiйних рiвнiв застосункiв — до вiдкритих джерелних пакетiв, якi забезпечують сучаснi процеси розробки та розгортання», — сказав Джорис Ван Де Вiс, директор з дослiджень безпеки SecurityBridge, Decrypt. Для криптовалютних розробникiв це означає: захист розробницького пайплайну так само важливий, як і захист смартконтрактiв та гаманцiв — бо отруєний процес збирання може бути найшвидшим шляхом до компрометацiї коштiв. Висновок: зловмисники обладнують довірену інфраструктуру. Проекти, яким потрбно публiчнi пакети, автоматизованe CI/CD та спiльнi кешi збирання — повиннi прийняти жорсткiшi контрольнi механiзми та швидке виявлення для захисту коду — і криптовалют.
Шай-Хулуд-зловмисне програмне забезпечення заражає пакунки NPM/PyPI, загрожує криптовалютним гаманцям
ChainGPTПоділитися
Короткий зміст
Зловмисне ПЗ Shai-Hulud заражило понад 320 пакетів NPM і PyPI, що вплинуло на більше ніж 518 мільйонів місячних завантажень. Загроза націлена на крипто-гаманці та облікові дані хмарних сервісів, з останніми випадками взлому в Mistral AI та OpenAI. Дослідники пов’язують це зловмисне ПЗ з TeamPCP, який раніше вкрав 4000 репозиторіїв GitHub. Новини на ланцюгу підкреслюють необхідність покращення перевірок залежностей та підписаних релізів. Новини про ШІ та криптовалюти демонструють зростаючі ризики в екосистемах відкритого коду. Експерти закликають використовувати ізольовані середовища збирання, щоб запобігти подальшому поширенню.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.