详细内容或原文请订阅后点击阅览
Shai-Hulud 蠕虫卷土重来,向 25K GitHub 存储库泄露秘密
特洛伊木马 npm 软件包传播在预安装阶段执行的新变种,几天内攻击数以千计 根据 Wiz 研究人员的说法,针对节点软件包管理器 (npm) 的自我传播恶意软件又卷土重来,他们表示,三天内超过 25,000 名开发人员的秘密遭到泄露。
来源:The Register _恶意软件据 Wiz 研究人员称,针对节点包管理器 (npm) 的自我传播恶意软件又卷土重来,三天内就有超过 25,000 名开发人员的秘密遭到泄露。
受影响的软件包包括由 Zapier、AsyncAPI、ENS Domains、PostHog 和 Postman 提供的软件包,其中一些软件包每周的下载量有数千次。
该活动首次出现于 9 月份,因公布的数据中频繁提及沙丘蠕虫而被称为“Shai-Hulud”。
于 9 月首次出现可蠕虫恶意软件通过受损的 npm 软件包进行传播。安装后,它会扫描受感染的主机以查找 AWS、GCP、Azure 和 GitHub 凭据,然后将其发布到用户自己的 GitHub 存储库。
Wiz 表示,最新的攻击可能是由不同的犯罪分子发起的,其操作方式与第一次攻击类似 - 扫描受感染的计算机以查找秘密,然后恶意软件将这些秘密发布到受害者自己的存储库中。
截至 9 月 24 日,已有超过 25,000 个存储库发布了自己的秘密,并且“过去几个小时”每 30 分钟就会添加 1,000 个存储库,Wiz 周一早上表示。
GitHub 正在积极删除受损的存储库,但蠕虫病毒的传播速度使清理成为一项挑战。
这次攻击借鉴了 9 月份最初变种的感染链。攻击者获得 npm 维护者帐户的访问权限并发布其软件包的木马版本,这些软件包似乎来自官方来源。
然后,开发人员会无意中下载并运行恶意代码,这些代码会在他们的计算机中设置后门并扫描凭据和 CI/CD 机密,然后将其发布到用户自己的存储库中。
Wiz 所称的 Shai-Hulud 2.0 的一个显着区别是,恶意代码是在预安装阶段执行的。研究人员警告说,这可能“显着”增加构建和运行时环境中的潜在暴露。
写作 发现 经常 影响数十万个包 回复了