Chiến dịch Mini Shai-Hulud npm xâm phạm các gói @antv, nhắm mục tiêu mã thông báo GitHub, khóa AWS và bí mật CI/CD của nhà phát triển blockchain trong một cuộc tấn công chuỗi cung ứng phối hợp.
Các bài đăng độc hại bắt đầu ngay trước 2 giờ sáng UTC ngày 19 tháng 5. Vào thời điểm hầu hết các nhà phát triển ở Bờ Đông uống cà phê đầu tiên, thiệt hại đã xảy ra.
Nhóm nghiên cứu mối đe dọa của Socket đang theo dõi một hoạt độngcuộc tấn công chuỗi cung ứng npmcác gói gây tổn hại trên bộ phần mềm trực quan hóa antv. Tài khoản người bảo trì npm bị ảnh hưởng, atool, kiểm soát một loạt các gói đồ thị và trực quan hóa dữ liệu được sử dụng nhiều trong công cụ dành cho nhà phát triển blockchain. Trong số các gói được gắn cờ: antv/g2, antv/g6, antv/x6, antv/l7, antv/s2, antv/f2 và các công cụ liên quan bên ngoài không gian tên antv bao gồm timeago.js, size-sensor và canvas-nest.js.
echarts-for-Reac nằm ở trung tâm của mức phơi sáng. Gói đó thu hút khoảng 1,1 triệu lượt tải xuống hàng tuần. Ổ cắm đã gắn cờ phiên bản độc hại, 3.2.7, là phần mềm độc hại đã biết, với thành phần bị xâm nhập được xuất bản chỉ 19 phút trước khi bị phát hiện theo dữ liệu đăng ký gói riêng của Ổ cắm.
639 phiên bản. Một đêm. Vẫn đang tính.
Cửa sổ hoạt động rất chặt chẽ. Các bài đăng độc hại bắt đầu vào khoảng 01:56 UTC và dừng vào khoảng 02:56 UTC. Hệ thống phát hiện của Socket đã phát hiện được hầu hết nội dung đó trong vòng sáu đến mười hai phút sau khi xuất bản. Thời gian phát hiện trung bình đạt khoảng 6,7 phút, theo đánh giá nội bộ của công ty được đăng tạiổ cắm.dev.
Trong toàn bộ chiến dịch Mini Shai-Hulud, Socket hiện đã theo dõi 1.055 phiên bản bị xâm nhập trên 502 gói duy nhất. Chiến dịch kéo dài npm, PyPI và Composer. npm chiếm gần như toàn bộ: 1.048 phiên bản trên 498 gói duy nhất, trong đó PyPI và Composer chỉ đóng góp một số ít.
Các gói bị ảnh hưởng đêm đó cũng bao gồm các không gian tên bên ngoài antv. Các gói trong lint-md, openclaw-cn và starmind đã nhận được các bản cập nhật độc hại trong cùng một làn sóng. Dữ liệu CSV được phóng viên này xem xét hiển thị các gói như antv/x6 phiên bản 3.2.7 và 3.3.7, antv/g2 phiên bản 5.5.8 và 5.6.8, antv/g6, antv/g2plot, antv/s2 và hàng tá gói khác, tất cả đều được xuất bản trong cùng khoảng thời gian một giờ đó.
Nguồn:ổ cắm.dev.
Tải trọng thực sự làm gì
Mã được chèn không rõ ràng về mục tiêu của nó. Tệp index.js cấp cơ sở sửa đổi package.json để tự chạy vào thời điểm cài đặt thông qua hook cài đặt sẵn: bun run index.js.
Các lớp che giấu chuỗi chạy sâu. Tải trọng sử dụng một bảng tra cứu lớn, giải mã chuỗi thời gian chạy và bộ giải mã tùy chỉnh được đăng ký với GlobalThis dưới dạng fc2edea72. Giải mã nó cho thấy điểm cuối lọc:https://t[.]m-kosche[.]com:443/api/public/otel/v1/traces. Dữ liệu được thu thập sẽ được nén bằng gzip, mã hóa bằng AES-256-GCM và bản thân khóa AES sẽ được gói trong RSA-OAEP với SHA-256 trước khi truyền. Việc chặn lưu lượng truy cập từ dữ liệu đo từ xa của mạng không hề đơn giản.
Tải trọng đặc biệt săn tìm bí mật môi trường của nhà phát triển. Mã thông báo GitHub, mã thông báo npm, thông tin xác thực AWS, tài liệu tài khoản dịch vụ Kubernetes, mã thông báo Vault, khóa riêng SSH, tệp xác thực Docker và chuỗi kết nối cơ sở dữ liệu đều xuất hiện trong danh sách mục tiêu. Nó cũng chứa logic rõ ràng cho 19 nền tảng CI/CD, bao gồm GitHub Actions, GitLab CI, CircleCI, Jenkins, Azure DevOps, AWS CodeBuild, Buildkite, Vercel và Netlify.
Danh sách đó giống như một giỏ hàng. Không phải là một công cụ giám sát.
Kho lưu trữ GitHub, tên Dune và một con sâu có tham vọng
Đường dẫn lọc dự phòng GitHub tồn tại trong trường hợp điểm cuối HTTPS chính bị chặn. Nếu tải trọng nhận được mã thông báo GitHub có thể sử dụng được, nó sẽ tạo một kho lưu trữ trong tài khoản của nạn nhân và chuyển dữ liệu bị đánh cắp vào thư mục results/. Tên tệp tuân theo mẫu results-timestamp-counter.json. Ổ cắm trước đây đã ghi lại hành vi này trong các đợt Mini Shai-Hulud trước đó.
Kết quả tìm kiếm công khai trên GitHub cho cụm từ đánh dấu đảo ngược hiện hiển thị khoảng 1,8 nghìn kho lưu trữ, dựa trên ảnh chụp màn hình được xem xét từ báo cáo Ổ cắm. Tên kho lưu trữ theo mẫu chủ đề Dune: sayyadina-stillsuit-852, atreides-ornithopter-112, harkonnen-phibian-552. Một kho lưu trữ được quan sát, Zaynex/sayyadina-stillsuit-852, chứa thư mục results/ phù hợp với quá trình lọc đang hoạt động.
Có cả logic sâu được tích hợp sẵn. Gói này xác thực mã thông báo npm thông qua API đăng ký, liệt kê các gói có thể bảo trì, chèn hook cài đặt sẵn, sửa số phiên bản, sau đó xuất bản lại dưới danh tính của người bảo trì bị xâm phạm. Được thiết kế để lây lan, không chỉ để ăn cắp.
Các biến thể Mini Shai-Hulud trước đó có các gói TanStack và các công cụ liên quan đến Intercom. Tên tệp khác nhau, điểm cuối C2 khác nhau. Làn sóng này sử dụng index.js cấp gốc và nội dung tải trọng nhỏ hơn. Hành vi cốt lõi phù hợp với các biến thể. Ổ cắm coi đây là cùng một nhóm chiến dịch.
Mối đe dọa không phải là lý thuyết đối vớicơ sở hạ tầng tiền điện tử. Các nhà phát triển chuỗi khối xây dựng công cụ DeFi hoặc bảng điều khiển Web3 thường xuyên sử dụng thư viện biểu đồ antv để trực quan hóa dữ liệu trên chuỗi. Đường dẫn CI/CD bị xâm phạm tại dự án DeFi có thể làm lộ thông tin đăng nhập của người triển khai hoặc quyền truy cập của quản trị viên giao thức. Ổ cắm cho biết cuộc điều tra vẫn mở.
Nguồn: Live Bitcoin News
Để lại một bình luận