Атака на цепочку поставок, названная «Mini-Shai-Hulud» и приписываемая печально известной хакерской группе TeamPCP, похоже, еще не закончена. Исследователи в области безопасности снова обнаружили сотни NPM-пакетов, которые недавно были заражены вредоносным кодом. В сообщении в блоге Socket(откроется в новом окне) теперь перечисляется более 1000 версий NPM-пакетов, затронутых Mini-Shai-Hulud. Большая часть из них появилась только в ночь на 19 мая.

Ранее атака в основном затронула пакеты из пространства имен @‌antv. По данным Step Security(откроется в новом окне) , речь идет об экосистеме визуализации данных от Alibaba. Но также, как сообщается, пострадали и другие, довольно популярные NPM-пакеты, такие как timeago.js, timeago-react, size-sensor, canvas-nest.js и echarts-for-react.

Скомпрометированы сотни пакетов

Списки всех пакетов, которые, по текущим данным, были изменены, можно найти в сообщениях блогов Socket(откроется в новом окне) , Step Security(откроется в новом окне) и OX Security(откроется в новом окне) . Пакеты заражены вредоносным ПО, которое попадает в системы пользователей в виде замаскированного файла index.js. Подавляющее большинство затронутых пакетов — это NPM-пакеты. Socket указывает здесь 1048 отдельных версий в общей сложности 498 NPM-пакетов.

Кроме того, есть несколько отдельных пакетов PyPI и Composer для проектов на Python и PHP. В целом по всем платформам Socket перечисляет 1055 скомпрометированных версий пакетов. Однако к последней волне атак на экосистему @‌antv относятся только 323 NPM-пакета и 639 версий пакетов. Остальное является частью более ранних атак.

Затронутые пакеты охватывают различные области применения, такие как картография, создание диаграмм и визуализация графики. Частично пострадали также React-компоненты и простые вспомогательные программы на Javascript. Некоторые пакеты имеют несколько тысяч загрузок в неделю, другие запрашиваются миллионы раз в неделю. По данным OX Security, все пакеты последней волны атак вместе набирают более 16 миллионов загрузок в неделю.

«Here We Go Again»

По словам исследователей, атака продолжается. Таким образом, в ближайшее время могут быть скомпрометированы еще больше пакетов. Источником последней волны атак, по имеющимся данным, является скомпрометированная NPM-учетная запись с именем atool(откроется в новом окне) , через которую злоумышленники смогли внедрить свой вредоносный код во многочисленные пакеты. Согласно профилю, atool в настоящее время связан с 554 NPM-пакетами.

Злоумышленники в первую очередь охотятся за учетными данными, с помощью которых они могут расширить свою атакующую активность. Утечка данных происходит через Github. Уже было идентифицировано более 2700 репозиториев Github, связанных с этой атакующей кампанией(откроется в новом окне) . Каждый из них содержит строку «niagA oG eW ereH :duluH-iahS», которая в инвертированном виде означает «Shai-Hulud: Here We Go Again».

Разработчикам программного обеспечения настоятельно рекомендуется проверить, используют ли они один из затронутых пакетов, и не скомпрометированы ли их системы или CI/CD-конвейеры. Если есть признаки компрометации, необходимо немедленно заменить (ротировать) все учетные данные, хранящиеся на соответствующих системах. Дополнительные рекомендации можно найти в вышеупомянутых сообщениях блогов, а также в публикации Microsoft в соцсети X(откроется в новом окне) .