Chúng tôi sử dụng trí tuệ nhân tạo để dịch trang web và trong khi chúng tôi cố gắng đạt được độ chính xác, chúng có thể không phải lúc nào cũng chính xác 100%. Sự hiểu biết của bạn được đánh giá cao.
Trang chủ/Blog/Từ Dune đến npm: Shai-Hulud Worm định nghĩa lại…
Từ Dune đến npm: Định nghĩa lại Worm của Shai-Hulud Supply Chain Rủi ro
bằng cách
OPSWAT
Chia sẻ bài viết này
Người hâm mộ Dune hẳn sẽ nhận ra "Shai-Hulud" là tên gọi dành cho những con sâu cát khổng lồ đang định hình lại sa mạc với sức mạnh không thể ngăn cản của chúng. Giờ đây, cộng đồng mã nguồn mở đang phải đối mặt với một mối đe dọa an ninh mạng đáng gờm tương tự. Vào ngày 15 tháng 9, cộng đồng phần mềm nguồn mở đã phải đối mặt với một trong những cuộc khủng hoảng gây gián đoạn nhất từ trước đến nay: một con sâu tự sao chép, được gọi là Shai-Hulud , đã lây lan qua hệ sinh thái npm, gây ảnh hưởng đến hơn 180 gói tin chỉ trong vài giờ.
Các thư viện đáng tin cậy như @ctrl/tinycolor, crowdstrike-nodejs, string-kit, json-sugar, photon-colors và nĩa của đã gõ.js và ngày và giờ đã bị ảnh hưởng. Với hàng triệu lượt tải xuống mỗi tuần, các tổ chức vô tình đưa các mã độc đang hoạt động trực tiếp vào đường ống xây dựng của họ.
Con sâu này khai thác các móc vòng đời npm để đánh cắp thông tin đăng nhập GitHub và đám mây công cộng, sau đó sử dụng những bí mật đó để phát hành các bản cập nhật bị nhiễm độc cho các dự án khác.
Luồng tấn công
Một phiên bản bị thỏa hiệp của @ctrl/tinycolor chèn một tập lệnh độc hại cục bộ (bundle.js).
Tập lệnh bundle.js tải xuống và thực thi TruffleHog để quét các bí mật GitHub trên máy của nạn nhân.
Sử dụng các bí mật GitHub đã khám phá, tập lệnh sẽ liệt kê các kho lưu trữ có thể truy cập được (chủ sở hữu, cộng tác viên hoặc thành viên tổ chức).
Đối với mỗi kho lưu trữ, nó sẽ lấy nhánh mặc định, tạo một shai-hulud nhánh và tải lên tệp quy trình làm việc .github/workflows/shai-hulud-workflow.yml .
Quy trình làm việc được cấu hình để kích hoạt khi có sự kiện đẩy. Trình chạy GitHub Actions thực thi tác vụ trong ngữ cảnh kho lưu trữ, nơi có quyền truy cập vào các bí mật.
Quy trình làm việc này sẽ đọc các bí mật của GitHub và truyền chúng đến điểm cuối do kẻ tấn công kiểm soát.
Tại sao điều này quan trọng bây giờ và trong dài hạn
Mã nguồn mở được thiết kế mở. Cơ quan đăng ký npm phục vụ hàng trăm tỷ lượt tải xuống mỗi tháng, và bất kỳ ai cũng có thể xuất bản một gói phần mềm. Sự cởi mở đó thúc đẩy sự đổi mới, nhưng cũng tạo cơ hội cho kẻ tấn công lợi dụng lòng tin ở quy mô lớn.
Sự bùng phát này khiến một sự thật trở nên không thể tránh khỏi: niềm tin không phải là vĩnh cửu. Một gói hàng an toàn hôm nay có thể bị xâm phạm vào ngày mai.
Khuyến nghị: Chỉ định chính xác các phiên bản phụ thuộc
Chúng tôi đặc biệt khuyến nghị các nhà phát triển tránh cài đặt phiên bản mới nhất tự động. Thay vào đó, hãy xác định một phiên bản cụ thể để cài đặt và chỉ xem xét và nâng cấp lên phiên bản mới hơn sau khi đã xác minh.
Các phụ thuộc được khai báo bằng >= hoặc * có thể kéo theo các bản cập nhật ngoài ý muốn, bao gồm cả các bản phát hành bị xâm phạm. Hãy chỉ định phiên bản chính xác đã được xem xét:
"dependencies": {
"lodash": "4.17.0"
}
Chỉ nâng cấp sau khi xác thực bản phát hành mới về tính xác thực và bảo mật.
Bây giờ so với Tiếp theo: Cân bằng giữa Tự động hóa và Sự can thiệp của Con người
Bây giờ: Phản ứng ngay lập tức
Tiếp theo: Khả năng phục hồi lâu dài
Tự động hóa: Kiểm tra các phụ thuộc npm và quét các hiện vật bằng nhiều công cụ. Nhân loại: Các nhà phát triển tạm dừng cài đặt ẩn và xác nhận nguồn phụ thuộc theo cách thủ công.
Tự động hóa: Nhúng xác thực SBOM liên tục và quét phần mềm độc hại vào mọi đường ống. Nhân loại: Các nhóm an ninh thường xuyên xem xét các gói hàng có rủi ro cao và báo cáo khi có dấu hiệu bất thường.
Tự động hóa: Thu hồi và luân chuyển các bí mật đã bị lộ. Nhân loại: Các nhóm bảo mật đánh giá việc sử dụng thông tin xác thực đáng ngờ và quyết định các bước ngăn chặn.
Tự động hóa: Áp dụng chính sách luân chuyển tự động và mặc định có đặc quyền thấp nhất. Nhân loại: Ban điều hành đặt ra các tiêu chuẩn quản trị và đảm bảo trách nhiệm giải trình đối với niềm tin trong chuỗi cung ứng.
Tự động hóa: Thực thi kiểm tra MFA và chữ ký trong CI/CD. Nhân loại: Các nhà lãnh đạo quyết định thời điểm giao hàng chậm để bảo vệ tính toàn vẹn.
Tự động hóa: Yêu cầu cam kết đã ký và nguồn gốc bản dựng có thể xác minh cho tất cả các bản phát hành. Nhân loại: Hội đồng quản trị coi sự tin cậy của phần mềm là vấn đề phục hồi chiến lược chứ không phải là tiêu chí tuân thủ.
Bức tranh lớn hơn
Đối với các giám đốc điều hành, cuộc tấn công này là lời nhắc nhở rằng rủi ro chuỗi cung ứng phần mềm cũng chính là rủi ro doanh nghiệp. Các cơ quan quản lý mong đợi các biện pháp kiểm soát có thể xác minh được, và khách hàng mong đợi bằng chứng về tính toàn vẹn. Hội đồng quản trị không còn có thể trì hoãn trách nhiệm giải trình đối với mã nguồn hỗ trợ các hoạt động quan trọng.
Đối với các chuyên gia, sự bùng phát cho thấy các đường ống phải phát triển. Mọi sự phụ thuộc vào mã nguồn mở nên được coi là không đáng tin cậy cho đến khi được chứng minh là an toàn. SBOM, quét phần mềm độc hại và khử trùng chỉ là những biện pháp cơ bản, nhưng nhận thức của con người - tạm dừng, đặt câu hỏi, leo thang - mới là yếu tố ngăn chặn tự động hóa mù quáng xâm nhập sâu tiếp theo.
OPSWAT Quan điểm của
Xây dựng Supply Chain Lòng tin
Những sự cố như tấn công chuỗi cung ứng vào các môi trường nguồn mở như npm là bằng chứng cho thấy chuỗi cung ứng phần mềm hiện là khối lượng công việc quan trọng. Ngành công nghiệp này cần chuyển từ niềm tin mù quáng sang niềm tin có thể xác minh.
George Prichici
Phó chủ tịch sản phẩm, OPSWAT
Tại OPSWAT Chúng tôi tin rằng niềm tin vào chuỗi cung ứng phải được xây dựng, chứ không phải được mặc định. Phương pháp của chúng tôi tập trung vào việc phòng thủ chuyên sâu:
Khả năng hiển thị toàn diện chuỗi cung ứng phần mềm với tích hợp SBOM để theo dõi mọi thành phần phần mềm, xác định lỗ hổng, quản lý rủi ro trong suốt SDLC và xác minh nguồn gốc ở mọi giai đoạn.
Multiscanning phần mềm với hơn 30 công cụ để phát hiện phần mềm độc hại đa hình và các phần mềm độc hại khác trong các gói, đặc biệt là trong mã nguồn mở của bên thứ ba.
CDR (Giải trừ và Tái cấu trúc Nội dung) để vô hiệu hóa các phần mềm độc hại trước khi chúng thực thi.
Kiểm soát lưu trữ và chuyển giao Secure , thực thi ranh giới tin cậy trên các đường ống CI/CD.
Các biện pháp kiểm soát này không chỉ phát hiện rủi ro mà còn chủ động khử trùng các tệp và tăng cường sự tin cậy, giảm nguy cơ các sự cố như thế này lan rộng.
Phát triển nhanh và bảo mật mạnh mẽ không loại trừ lẫn nhau. Các nhóm phát triển cần quy trình quét và phê duyệt tự động được tích hợp vào chuỗi cung ứng phần mềm để họ có thể bảo vệ mã mà không làm chậm tiến độ.
George Prichici
Phó chủ tịch sản phẩm, OPSWAT
An ninh theo kịp sự phát triển
Với OPSWAT , bảo mật tích hợp trực tiếp vào quy trình làm việc hiện có:
Tích hợp quy trình CI/CD – Quét tự động và thực thi chính sách trong Jenkins, GitHub Actions, GitLab và các môi trường xây dựng khác.
Quét hiện vật liền mạch – Xác thực các gói npm, vùng chứa và tệp nhị phân như một phần của các bước xây dựng thông thường.
Tạo và xác thực SBOM theo yêu cầu – Tự động tạo và xác minh SBOM cho mọi bản phát hành, đảm bảo nguồn gốc mà không tốn thêm chi phí.
Trải nghiệm nhà phát triển minh bạch – Bảo mật chạy ngầm, chỉ phát hiện sự cố khi thực sự cần can thiệp.
Móc khắc phục tự động – Cách ly hoặc vệ sinh các tệp bị xâm phạm mà không làm gián đoạn quá trình xây dựng.
Văn hóa phát triển theo hướng tốc độ không nhất thiết phải xung đột với quá trình xác thực bảo mật cần thiết; quy trình quét và phê duyệt tự động phải là điều bắt buộc, với tác động tối thiểu đến tốc độ phát triển.
Bằng cách nhúng các khả năng này vào vòng đời phần mềm, OPSWAT giúp các tổ chức đạt được cả tốc độ phát triển và độ tin cậy có thể xác minh được, đây là sự cân bằng mà sự cố npm chứng minh là rất cần thiết.
Sâu npm Shai-Hulud là một tín hiệu rõ ràng về các mối đe dọa đang định hình phần mềm ngày nay. Kẻ tấn công không cần phải xâm nhập vào cơ sở mã của bạn. Chúng có thể thuyết phục bạn cài đặt chúng. Hãy xác minh mọi hiện vật, tích hợp khả năng phục hồi vào mọi giai đoạn và trao quyền cho mọi người hành động khi tự động hóa thôi là chưa đủ. Các tổ chức coi trọng điều này ngay bây giờ sẽ định hình tương lai của chuỗi cung ứng phần mềm an toàn.
Bạn đã sẵn sàng bảo vệ chuỗi cung ứng phần mềm của mình khỏi các mối đe dọa mạng mới nhất bằng các giải pháp tích hợp liền mạch và được thiết kế riêng chưa?
