Sekojiet zdnet: Pievienojiet mūs kā vēlamo avotu Google.
ZDNET galvenie pārņemšana
- Shai-Hulud ir visu laiku sliktākais NPM JavaScript uzbrukums.
- Šis programmatūras piegādes ķēdes tārpu uzbrukums joprojām turpinās.
- Šeit ir daži veidi, kā jūs varat novērst šādus uzbrukumus.
Tiem no jums, kas nav Kāpa Fani, Shai-Hulud ir Desert Planet Arrakis milzu smilšu tārpi. Jūs nevēlaties nokļūt viņu ceļā. Tagad tas ir arī a nosaukums pašreplicējošs tārps, kas apdraud vismaz 180 npm paketesun, iespējams, pat 500 no tiem.
Šī ir būtiska drošības krīze ikvienam, kurš programmē JavaScript un JavaScript izpildlaika vidi Node.jsApvidū Starp citu, JavaScript ir viena no populārākajām programmēšanas valodām. Šis piegādes ķēdes uzbrukums skar gandrīz visus JavaScript izstrādātājus.
Arī: Šī 2FA pikšķerēšanas izkrāpšana bija izstrādātāja – un apdraudētās miljardiem NPM lejupielāžu
Tas ir tāpēc, ka Mezgla paketes pārvaldnieks (NPM) ir JavaScript noklusējuma pakotņu pārvaldnieks un programmatūras reģistrs. Tas ļauj izstrādātājiem instalēt, pārvaldīt un dalīties ar paketēm – iepriekš ievietotiem atkārtoti lietojamā koda gabaliem, ko sauc par moduļiem -, no kuriem ir atkarīgi no viņu JavaScript vai Node.js projektiem. NPM ir lielākā šāda atvērtā koda pakešu bibliotēka. Būtībā visi, kas izmanto JavaScript, to izmanto.
NPM ir arī šausmīgs drošības rezultāts. Mēnesi pēc mēneša, gadu no gada hakeri ir veiksmīgi ievietojuši ļaunprātīgu kodu NPM moduļos. Tas, savukārt, nozīmē, ka sabojāts kods tiek automātiski ieviests JavaScript balstītās programmās, kuras izmanto gala lietotāji.
Jaunākais piemērs tam bija pirms nedēļas, kad pikšķerēšanas uzbrukums apdraudēja 18 paketes, kuras tika lejupielādētas divas miljardus reižu nedēļā. Šīs nedēļas uzbrukums ir daudz sliktāksApvidū Cik slikti? Mēs precīzi nezinām. Drošības eksperti to joprojām strādā, un, kamēr tārps ir palēninājies, tas vēl nav apstājies.
Kā darbojas programmatūras piegādes ķēdes uzbrukums
Programmatūras piegādes ķēdes uzbrukums notiek, ja uzbrucējs tās izstrādes laikā apdraud programmatūru, pirms gala lietotājiem ievietojot ļaunprātīgu kodu savos komponentos. Tā vietā, lai tieši uzbrūk programmētājiem vai lietotājiem, uzbrucēji izmanto ievainojamības uzticamos trešo personu pārdevēju, bibliotēku vai attīstības rīku, uz kuriem izstrādātāji paļaujas. Ja kompromitēta programmatūra vai atjauninājumi tiek piegādāti, bieži automātiski klientiem, ļaunprātīgā krava var ietekmēt daudzus upurus vienlaicīgi.
Arī: Jūsu paroļu pārvaldnieks tiek pakļauts uzbrukumam: kā aizstāvēt sevi pret jauniem draudiem
Šie uzbrukumi ir bīstami, jo:
- Viņi izmanto uzticamas attiecības, ļaujot uzbrucējiem apiet tiešo drošības kontroli.
- Viens veiksmīgs kompromiss var ietekmēt tūkstošiem vai miljoniem lietotāju, jo to programmatūra ietver sabojātas atkarības vai kodu.
- Mūsdienu organizācijas bieži izmanto simtiem trešo personu bibliotēku vai pakalpojumu, kas nozīmē, ka vienam ķēdē pārkāpumu var būt eksponenciāla ietekme.
Kā gala lietotājs to neredzat, kamēr tas uzpūš sejā, atjauninot programmu vai pakalpojumu, kuru izmantojat katru dienu, un tas pēkšņi noiet greizi. Vai arī, kā tas ir daudz ticamāk, tas sāk iegūt bitcoin uz jūsu servera, sāk nozagt jūsu uzņēmuma klientu datus vai instalē izpirkuma programmatūru.
Šai-Huluda uzbrukumi
Piemēram, šajā gadījumā pakete glaimojošs bija viena no pirmajām kompromitētajām programmām, kas tika pamanītas. Viss, ko tas dara, ir mainīt programmas krāsas. Tas tā. Tas tiek lejupielādēts vidēji 2,2 miljonus reižu nedēļā, lai to izmantotu desmitiem tūkstošu programmu.
Inficētā Tinycolor versija un visi pārējie paketes tika automātiski ievilkti – mums nav ne mazākās nojausmas, cik daudz programmu. Kad viņi tur atradās, viņi izvietoja ļaunprātīgu paketi ar tārpu. Kamēr viņi instalēja, a skripts skenēja vidi noslēpumiem piemēram, NPM marķieri, github akreditācijas dati un mākoņa pakalpojumu lietojumprogrammu programmēšanas interfeisa (API) taustiņi, piemēram, AWS un Google Cloud.
Arī: Labākie paroļu vadītāji uzņēmumiem 2025. gadā: pārbaudīts eksperts
Pēc tam tas izmantoja šos noslēpumus, lai tos nodotu uzbrucēju kontrolētiem parametriem. Tad viņi izveidoja publiskas GitHub krātuves, kurās bija nozagti dati, visi apzīmēja ar “Shai-Hulud”.
Izmantojot šos noslēpumus, it īpaši nozagtos NPM marķierus, tārps pēc tam autentificēts, kad katrs kompromitēts izstrādātājs, skenēts citām NPM pakotnēm, kuras viņi uzturēja, ievadīja tā kodu un publicēja jaunas, ļaunprātīgas versijas. Tādā veidā tārps turpināja izplatīties un izplatīties, un … labi, jums rodas ideja.
Tas izraisīja eksponenciālu izplatību, ietekmējot ārkārtīgi populārās bibliotēkas ar miljardiem iknedēļas lejupielāžu un trāpot projektiem, kas pieder uzņēmumiem, piemēram, drošības uzņēmumam Kravas automašīnaApvidū
Paturiet prātā, ka uzņēmuma spēles nosaukums ir uzņēmumu aizsardzība no šādiem pārkāpumiem. Tas nāk arī tikai gadu pēc tam, kad Crowdstrike atjauninājums draņķīgi avarēja desmitiem miljonu Windows PC, kas noved pie visu laiku lielākā zilo ekrānu vilnis.
Arī: 7 Paroles noteikumu drošības eksperti dzīvo 2025. gadā – pēdējais varētu jūs pārsteigt
Pievienojot apvainojumu par ievainojumiem, ļaunprātīgā programmatūra bieži instalēja atvērtā koda Trifeļu rīks medīt turpmākus noslēpumus un privātus Github krātuves. Kad tā atrada šīs privātās krātuves, tas izveidoja tos publiskos klonus. Tad kā apsardzes uzņēmums, Reversinglabs Ievietojiet to, “Katra jaunizveidotā pakete tiek modificēta ar Postinstall darbību kas izpildīs ļaunprātīgo paketi.js, kad nenojaušais lietotājs lejupielādē kompromitētu paketi. Tas tiek atkārtots mūžībā, jo tārps atrod jaunus izstrādātājus, lai inficētos, un pēc tam tos izmanto, lai izplatītos vēl vairāk. “Un turpināja to.
Kopējais uzliesmojuma apjoms joprojām nav zināms. Vismaz 700 github krātuvēm ir bijuši noslēpumi, kas ir pakļauti tārpa darbību dēļ.
Arī: Jūsu Android tālruņa visspēcīgākā drošības funkcija ir paslēpta un izslēgta pēc noklusējuma – ieslēdziet to tagad
Cik tas tiešām ir slikti? Izstrādātāju drošības uzņēmums Kauja Izpilddirektors Dans Lorens rakstīja LinkedIn, “Šis NPM uzbrukumu vilnis jūtas savādāk… Es dzirdu no vairāk nekā dažiem uzņēmumiem, kas iesaldē attīstību/uzņemšanu, līdz viņi to sakārto. “Tas nav bizness kā parasti.
NPM uzturētāji un skartie uzņēmumi cenšas noņemt ļaunprātīgas paketes, pagriezt akreditācijas datus un brīdināt izstrādātāju kopienu. Drošības pārdevēji, piemēram Palo Alto tīkliVerdzība Tendence mikroun Crowdstrike ir izdevuši ārkārtas norādījumus, iesakot spēcīgu akreditācijas drošību, tūlītēju marķieru rotāciju un ļaunprātīgas programmatūras skenēšanu visām sistēmām, kuras, iespējams, ir instalējušas NPM paketes pēdējās dienās.
Kā novērst programmatūras piegādes ķēdes uzbrukumus
Programmatūras piegādes ķēdes uzbrukumi ir kļuvuši par ierastu. Viņi nav jauni. Mēs lēnām atzīstam, cik bīstami ir šie uzbrukumi. Mums vajadzēja iemācīties savu mācību 2020. gadā, kad mēs atklājām, ka ar krievu saistītie uzbrucēji ir pārkāpuši Solarwinds un iekļuva tūkstošiem SolarWinds klientu, izmantojot ļaunprātīgu kodu, kas ievadīts uzņēmuma tīkla uzraudzības programmatūrā.
Mēs to nedarījām. Tātad, lūk, kā jūs varat palēnināt piegādes ķēdes uzbrukumus, ja tos pilnībā novērstu.
Arī: 3 iemesli, kāpēc VPN izmantošana ir iestatīta eksplodēt visā pasaulē – un tas varētu attiekties uz jums
Iesācējiem šeit ir aukstā, cietā patiesība. Ja esat izstrādātājs, jūs vairs nevarat akli uzticēties savām atkarībām. Periods. Paziņojuma beigas. Jā, es zinu Linusa likums“Ņemot vērā pietiekami daudz acu ābolu, visas kļūdas ir seklas”, un jūs to darāt. Bet tas darbojas tikai tad, ja ir pietiekami daudz acu ābolu. Jūs varat nomest naivo priekšstatu, ka atvērtā koda nozīmē drošu programmatūru. Labākajā gadījumā tā ir taisnība, bet akli uzticoties programmām no NPM vai jebkuras citas sabiedriskās programmatūras repozitorija, ir tikai nepatikšanas.
Tātad, pieņemiet, ka atvērtā koda atkarības tagad ir jūsu riska profila galvenā sastāvdaļa. Sāciet nopietni ārstēt programmatūras patēriņu: iestatiet politiku, izsekojiet visu, ko izmantojat ar dzīvu programmatūras materiālu rēķinu (SBOM), un turiet šos komponentus īsā pavadā.
Arī: Navigācija ar AI darbināmiem kiberdraudiem 2025. gadā: 4 ekspertu drošības padomi uzņēmumiem
Jums arī jāpārtrauc automātiski atjaunināt komponentus uz visu, kas ir jaunākā versija. Tā vietā atjaunināt tikai atjauninātās, atbalstītās versijas. Kā Atvertsf Ievietojiet to Atvērtā koda patēriņa manifestsjums ir jāsaprot akli akli, izmantojot atvērtā koda kodu.
Saņemsim praktisku un specifisku.
1. Sarežģīta attīstība un vides veidošana
2. kartē un pārvaldīt visas atkarības
- Uzturēt SBOM katram projektam; izsekot visas atkarības. Jā, viņi visi – jā, tieša un pārejoša.
- Izmantojiet tikai labi uzturētas, uzticamas atvērtā koda paketes. Pirms jaunu komponentu pievienošanas pārbaudiet Provenance un pārdevēju reputāciju.
- Automatizēt periodisku skenēšanu, lai iegūtu ievainojamību ar Programmatūras kompozīcijas analīze (SCA) instrumenti. Nekavējoties noņemiet vai plāksterim apzīmētas atkarības.
3. Nostipriniet CI/CD cauruļvadu
- Integrējiet statiskas, dinamiskas un interaktīvas drošības skenēšanas CI/CD cauruļvados, tāpēc katram apņemšanās un vilkšanas pieprasījumam tiek automātiski pārbaudīta ievainojamība.
- Izmantot Uz lomu balstīta piekļuves kontrole (RBAC) Veidošanas un izvietošanas resursiem. Regulāri revīzijas atļaujas atbilstoši vismazākajām privilēģijām.
- Parakstiet, pārbaudiet un periodiski pārskatiet visus programmatūras artefaktus, nodrošinot, ka atjauninājumi nāk no uzticamiem avotiem un tiek saglabāta reproducējamība.
4. uzraudzīt, izglītot un reaģēt
- Izvietojiet reāllaika draudu izlūkošanas plūsmas un monomālijas uzraudzību būvēšanas cauruļvados, krātuvēs un lietojumprogrammu uzvedībā.
- Nodrošiniet pastāvīgu apmācību izstrādātājiem par drošas kodēšanas, sociālās inženierijas un piegādes ķēdes uzbrukuma izpratni.
- Pārbaudiet savu reakcijas plānu, imitējot pārkāpumus un braucot ar incidentu treniņiem, nodrošinot, ka esat gatavs ātri reaģēt, kad rodas draudi. Ņemiet vērā, ka es teicu “kad,” nav “ja” – “kad”.
- Revīzija visu. Ja notiek kopīgas ievainojamības un iedarbības (CVE) šņaukšana, negaidiet, lai atbildētu. Pārbaudiet, plāksterim un, ja nepieciešams, karantīnā skartais kods.
5. Sadarboties augšup un lejup pa straumi
- Sazinieties ar augšējiem uzturētājiem un pārdevēju atbalstu ātrajiem labojumiem. Negaidiet, kamēr parādīsies publiskā izmantošana. Atklātais kods labi darbojas tikai tad, kad mēs visi pie tā strādājam. Jūs nevarat tikai pieņemt, ka viss ir labi augšpus.
- Novērtējiet piegādātājus, partnerus un kritiskos trešo personu rīkus, lai ievērotu piegādes ķēdes drošības paraugpraksi. Nepieciešamas SBOM un regulāras drošības atsauksmes.
Veicot šīs darbības un iestrādājot drošību katrā programmatūras izstrādes posmā, jūs dramatiski samazināsit ekspozīciju programmatūras piegādes ķēdes uzbrukumos. Tas, kā viņi nāk tik ātri un bieži, jūs joprojām varat viņiem saskarties, bet vismaz jūs būsit mazinājis savu ekspozīciju. Veiksmi. Mums visiem tas būs vajadzīgs.
