Реєстри з відкритим кодом стали жертвами атак на ланцюжок поставок “Міні Шай-Хулуд”
Новий вірус Mini Shai-Hulud: Загроза для відкритих ланцюгів постачання
Відкриті ланцюги постачання програмного забезпечення зазнають нової кризи через насичений шкідливий програмний вірус, відомий як Mini Shai-Hulud, який атакує різноманітні екосистеми. Цей вірус націлений на облікові дані розробників та середовища безперервної інтеграції.
Mini Shai-Hulud уразив популярний пакет PyTorch Lightning на платформі PyPI та клієнта Intercom на npm. Загарбники адаптували свій шкідливий код для впровадження в інші платформи, такі як PHP’s Packagist, Ruby Gems і Go modules, поширюючи свою загрозу по всьому світу.
Шляхи впровадження та наслідки
Фахівці з безпеки з компаній Socket, Aikido Security і OX Security виявили шкідливі версії пакетів PyTorch Lightning у публічних реєстрах. Зловмисники завантажили версії 2.6.2 та 2.6.3, щоб отримати доступ до конфіденційної інформації. Особливість атаки полягає в тому, що шкідливий код виконується тихо під час встановлення пакету, збираючи SSH-ключі та токени GitHub Actions до того, як стандартні сканери безпеки виявлять небезпеку.
Інженерні департаменти, які рідко користуються єдиним стеком технологій, окремо розробляють моделі машинного навчання на Python, керують веб-трафіком за допомогою Node.js і впроваджують бекенд мікросервіси на Go, що створює додаткові потенційні точки атаки для зловмисників.
Стратегія атак та цілі зловмисників
Зловмисники, які стоять за Mini Shai-Hulud, добре розуміють багатогранне середовище розробки, і шляхом зараження популярних інструментів підприємств, обходять традиційні фаєрволи. Вони створюють “сплячі” пакунки, використовуючи викрадені облікові записи розробників, що дозволяє шкідливому програмному забезпеченню залишатися у стані спокою до значного поширення пакету.
Лінії розробки штучного інтелекту представляють собою особливо вразливу ціль, оскільки інженери, які працюють у цій сфері, часто не мають належної підготовки в області безпеки. Вони нерідко завантажують неперевірені модулі Python з публічних реєстрів, щоб тренувати свої експериментальні моделі.
Запобігання атакам та рекомендації
Для вирішення цієї вразливості компанії мають керувати процесом отримання зовнішнього коду, блокуючи безпосередній доступ до інтернет-реєстрів з їхніх виробничих середовищ. Лідери інженерних команд повинні маршрутизувати всі завантаження через внутрішній, суворо контрольований репозиторій.
Впровадження цих контрольних заходів може створити значні труднощі. Команди безпеки мають сканувати кожний запитуваний пакет на наявність прихованого шкідливого коду перед його схваленням для внутрішнього використання.
Посилення захисту має починатися з активного моніторингу. Проте швидкі темпи розвитку сучасного програмування ускладнюють цю задачу. Інструменти генеративного AI програмування створюють шаблонний код значно швидше, ніж розробники можуть його перевірити, що вимагає пильності при виборі сторонніх бібліотек.
