Chúng tôi sử dụng trí tuệ nhân tạo để dịch trang web và mặc dù chúng tôi luôn cố gắng đảm bảo độ chính xác, nhưng đôi khi bản dịch có thể không đạt độ chính xác tuyệt đối. Mong quý vị thông cảm.
Trang chủ/Blog/Từ Dune đến npm: Shai-Hulud Worm định nghĩa lại…
Từ Dune đến npm: Định nghĩa lại Worm của Shai-Hulud Supply Chain Rủi ro
bằng cách
OPSWAT
Chia sẻ bài viết này
Người hâm mộ Dune hẳn sẽ nhận ra "Shai-Hulud" là tên gọi dành cho những con sâu cát khổng lồ đang định hình lại sa mạc với sức mạnh không thể ngăn cản của chúng. Giờ đây, cộng đồng mã nguồn mở đang phải đối mặt với một mối đe dọa an ninh mạng đáng gờm tương tự. Vào ngày 15 tháng 9, cộng đồng phần mềm nguồn mở đã phải đối mặt với một trong những cuộc khủng hoảng gây gián đoạn nhất từ trước đến nay: một con sâu tự sao chép, được gọi là Shai-Hulud , đã lây lan qua hệ sinh thái npm, gây ảnh hưởng đến hơn 180 gói tin chỉ trong vài giờ.
Các thư viện đáng tin cậy như @ctrl/tinycolor, crowdstrike-nodejs, string-kit, json-sugar, photon-colors và nĩa của đã gõ.js và ngày và giờ đã bị ảnh hưởng. Với hàng triệu lượt tải xuống mỗi tuần, các tổ chức vô tình đưa các mã độc đang hoạt động trực tiếp vào đường ống xây dựng của họ.
Con sâu này khai thác các móc vòng đời npm để đánh cắp thông tin đăng nhập GitHub và đám mây công cộng, sau đó sử dụng những bí mật đó để phát hành các bản cập nhật bị nhiễm độc cho các dự án khác.
Luồng tấn công
Một phiên bản bị thỏa hiệp của @ctrl/tinycolor chèn một tập lệnh độc hại cục bộ (bundle.js).
Tập lệnh bundle.js tải xuống và thực thi TruffleHog để quét các bí mật GitHub trên máy của nạn nhân.
Sử dụng các bí mật GitHub đã khám phá, tập lệnh sẽ liệt kê các kho lưu trữ có thể truy cập được (chủ sở hữu, cộng tác viên hoặc thành viên tổ chức).
Đối với mỗi kho lưu trữ, nó sẽ lấy nhánh mặc định, tạo một shai-hulud nhánh và tải lên tệp quy trình làm việc .github/workflows/shai-hulud-workflow.yml .
Quy trình làm việc được cấu hình để kích hoạt khi có sự kiện đẩy. Trình chạy GitHub Actions thực thi tác vụ trong ngữ cảnh kho lưu trữ, nơi có quyền truy cập vào các bí mật.
Quy trình làm việc này sẽ đọc các bí mật của GitHub và truyền chúng đến thiết bị đầu cuối do kẻ tấn công kiểm soát.
Tại sao điều này trọng yếu bây giờ và trong dài hạn
Mã nguồn mở được thiết kế mở. Cơ quan đăng ký npm phục vụ hàng trăm tỷ lượt tải xuống mỗi tháng, và bất kỳ ai cũng có thể xuất bản một gói phần mềm. Sự cởi mở đó thúc đẩy sự đổi mới, nhưng cũng tạo cơ hội cho kẻ tấn công lợi dụng lòng tin ở quy mô lớn.
Sự bùng phát này khiến một sự thật trở nên không thể tránh khỏi: niềm tin không phải là vĩnh cửu. Một gói hàng an toàn hôm nay có thể bị xâm phạm vào ngày mai.
Bây giờ so với Tiếp theo: Cân bằng giữa Tự động hóa và Sự can thiệp của Con người
Bây giờ: Phản ứng ngay lập tức
Tiếp theo: Khả năng phục hồi lâu dài
Kiểm toán npm phụ thuộc và quét các hiện vật với nhiều công cụ.
Xử lý mọi gói hàng như không đáng tin cậy cho đến khi được chứng minh là sạch (ví dụ, MetaDefender Software Supply Chain hoặc tương tự). Tự động quét hiện vật cho tất cả các gói hàng.
Các nhà phát triển tạm dừng cài đặt ẩn và xác nhận nguồn phụ thuộc theo cách thủ công.
Các nhóm an ninh thường xuyên xem xét các gói hàng có rủi ro cao và báo cáo khi có dấu hiệu bất thường.
Tránh cài đặt phiên bản mới nhất tự động; hãy chỉ định phiên bản chính xác và chỉ nâng cấp sau khi xác minh: npm install <package name>@<package version>
Bảo mật trình quản lý gói – sử dụng pnpm hoặc npm.
Cài đặt với --bỏ qua các tập lệnh để chặn các tập lệnh nguy hiểm sau khi cài đặt.
Trì hoãn và xác minh các bản cập nhật – ví dụ, minimum-release-age + kiểm toán pnpm.
Thu hồi và luân chuyển các bí mật đã bị lộ.
Áp dụng chính sách luân chuyển tự động và mặc định có đặc quyền thấp nhất.
Các nhóm bảo mật đánh giá việc sử dụng thông tin xác thực đáng ngờ và quyết định các bước ngăn chặn.
Ban điều hành đặt ra các tiêu chuẩn quản trị và đảm bảo trách nhiệm giải trình đối với niềm tin trong chuỗi cung ứng.
Thực thi kiểm tra MFA và chữ ký trong CI/CD.
Yêu cầu cam kết đã ký và nguồn gốc bản dựng có thể xác minh cho tất cả các bản phát hành.
Các nhà lãnh đạo quyết định thời điểm giao hàng chậm để bảo vệ tính toàn vẹn.
Hội đồng quản trị coi sự tin cậy của phần mềm là vấn đề phục hồi chiến lược chứ không phải là tiêu chí tuân thủ.
Bức tranh lớn hơn
Đối với các giám đốc điều hành, cuộc tấn công này là lời nhắc nhở rằng rủi ro chuỗi cung ứng phần mềm cũng chính là rủi ro doanh nghiệp. Các cơ quan quản lý mong đợi các biện pháp kiểm soát có thể xác minh được, và khách hàng mong đợi bằng chứng về tính toàn vẹn. Hội đồng quản trị không còn có thể trì hoãn trách nhiệm giải trình đối với mã nguồn hỗ trợ các hoạt động trọng yếu.
Đối với các chuyên gia, sự bùng phát cho thấy các đường ống phải phát triển. Mọi sự phụ thuộc vào mã nguồn mở nên được coi là không đáng tin cậy cho đến khi được chứng minh là an toàn. SBOM, quét mã độc và làm sạch chỉ là những biện pháp cơ bản, nhưng nhận thức của con người - tạm dừng, đặt câu hỏi, leo thang - mới là yếu tố ngăn chặn tự động hóa mù quáng xâm nhập sâu tiếp theo.
OPSWAT Quan điểm của
Xây dựng Supply Chain Lòng tin
Những sự cố như tấn công chuỗi cung ứng vào các môi trường nguồn mở như npm là bằng chứng cho thấy chuỗi cung ứng phần mềm hiện là khối lượng công việc trọng yếu. Ngành công nghiệp này cần chuyển từ niềm tin mù quáng sang niềm tin có thể xác minh.
George Prichici
Phó chủ tịch sản phẩm, OPSWAT
Tại OPSWAT Chúng tôi tin rằng niềm tin vào chuỗi cung ứng phải được xây dựng, chứ không phải được mặc định. Phương pháp của chúng tôi tập trung vào việc phòng thủ chuyên sâu:
Khả năng hiển thị toàn diện chuỗi cung ứng phần mềm với tích hợp SBOM để theo dõi mọi thành phần phần mềm, xác định lỗ hổng, quản lý rủi ro trong suốt SDLC và xác minh nguồn gốc ở mọi giai đoạn.
Multiscanning phần mềm với hơn 30 công cụ để phát hiện mã độc đa hình và các mã độc khác trong các gói, đặc biệt là trong mã nguồn mở của bên thứ ba.
Sandbox Adaptive : Phân tích dựa trên AI giúp phát hiện nhanh chóng ngay cả mã độc khó phát hiện nhất.
Kiểm soát lưu trữ và chuyển giao Secure , thực thi ranh giới tin cậy trên các đường ống CI/CD .
Các biện pháp kiểm soát này không chỉ phát hiện rủi ro mà còn chủ động làm sạch các tệp và tăng cường sự tin cậy, giảm nguy cơ các sự cố như thế này lan rộng.
Phát triển nhanh và bảo mật mạnh mẽ không loại trừ lẫn nhau. Các nhóm phát triển cần quy trình quét và phê duyệt tự động được tích hợp vào chuỗi cung ứng phần mềm để họ có thể bảo vệ mã mà không làm chậm tiến độ.
George Prichici
Phó chủ tịch sản phẩm, OPSWAT
An ninh theo kịp sự phát triển
Với OPSWAT , bảo mật tích hợp trực tiếp vào quy trình làm việc hiện có:
Tích hợp quy trình CI/CD – Quét tự động và thực thi chính sách trong Jenkins, GitHub Actions, GitLab và các môi trường build khác. Xác thực các gói npm, container và tệp nhị phân như một phần của các bước build thông thường.
Tạo và xác thực SBOM theo yêu cầu – Tự động tạo và xác minh SBOM cho mọi bản phát hành, đảm bảo nguồn gốc mà không tốn thêm chi phí.
Trải nghiệm nhà phát triển minh bạch – Bảo mật chạy ngầm, chỉ phát hiện sự cố khi thực sự cần can thiệp.
Móc khắc phục tự động – Cách ly hoặc vệ sinh các tệp bị xâm phạm mà không làm gián đoạn quá trình xây dựng.
Văn hóa phát triển theo hướng tốc độ không nhất thiết phải xung đột với quá trình xác thực bảo mật cần thiết; quy trình quét và phê duyệt tự động phải là điều bắt buộc, với tác động tối thiểu đến tốc độ phát triển.
Bằng cách nhúng các khả năng này vào vòng đời phần mềm, OPSWAT giúp các tổ chức đạt được cả tốc độ phát triển và độ tin cậy có thể xác minh được, đây là sự cân bằng mà sự cố npm chứng minh là rất cần thiết.
Sâu npm Shai-Hulud là một tín hiệu rõ ràng về các mối đe dọa đang định hình phần mềm ngày nay. Kẻ tấn công không cần phải xâm nhập vào cơ sở mã của bạn. Chúng có thể thuyết phục bạn cài đặt chúng. Hãy xác minh mọi hiện vật, tích hợp khả năng phục hồi vào mọi giai đoạn và trao quyền cho mọi người hành động khi tự động hóa thôi là chưa đủ. Các tổ chức coi trọng điều này ngay bây giờ sẽ định hình tương lai của chuỗi cung ứng phần mềm an toàn.
Bạn đã sẵn sàng bảo vệ chuỗi cung ứng phần mềm của mình khỏi các mối đe dọa mạng mới nhất bằng các giải pháp tích hợp liền mạch và được thiết kế riêng chưa?
