近期發(fā)生的第二輪Shai-Hulud攻擊事件，在感染NPM（Node包管理器）倉(cāng)庫(kù)數(shù)百個(gè)軟件包后，導(dǎo)致約40萬條原始敏感憑證泄露，且被盜數(shù)據(jù)被公開至3萬個(gè)GitHub代碼倉(cāng)庫(kù)中。

盡管開源掃描工具TruffleHog僅驗(yàn)證出約1萬條泄露憑證為有效狀態(tài)，但云安全平臺(tái)Wiz的研究人員指出，截至12月1日，超過60%的泄露NPM令牌仍處于有效可用狀態(tài)。

從自傳播感染到破壞性.payload

Shai-Hulud威脅最早于9月中旬浮出水面，當(dāng)時(shí)攻擊者通過自傳播惡意載荷攻陷了187個(gè)NPM軟件包——該載荷會(huì)利用TruffleHog工具識(shí)別賬戶令牌，向軟件包中注入惡意腳本并自動(dòng)在平臺(tái)發(fā)布。

而在第二輪攻擊中，受惡意軟件影響的軟件包數(shù)量超800個(gè)（含同一軟件包的所有受感染版本），且惡意程序新增了破壞性機(jī)制：當(dāng)滿足特定條件時(shí)，會(huì)清空受害者主機(jī)的主目錄。

泄露憑證的類型與分布

新 GitHub 賬戶在新倉(cāng)庫(kù)上發(fā)布機(jī)密信息的速度

Wiz研究人員對(duì)Shai-Hulud2.0攻擊擴(kuò)散至3萬個(gè)GitHub倉(cāng)庫(kù)的憑證泄露數(shù)據(jù)展開分析，發(fā)現(xiàn)泄露的敏感信息包含以下類型：

1. 約70%的倉(cāng)庫(kù)中存在contents.json文件，內(nèi)含GitHub用戶名、令牌及文件快照；

2. 半數(shù)倉(cāng)庫(kù)包含truffleSecrets.json文件，存儲(chǔ)了TruffleHog的掃描結(jié)果；

3. 80%的倉(cāng)庫(kù)存有environment.json文件，涵蓋操作系統(tǒng)信息、CI/CD元數(shù)據(jù)、NPM包元數(shù)據(jù)及GitHub身份憑證；

4. 400個(gè)倉(cāng)庫(kù)托管了actionsSecrets.json文件，包含GitHub Actions工作流密鑰。

該惡意軟件調(diào)用TruffleHog時(shí)未啟用-only-verified參數(shù)，這意味著40萬條泄露憑證僅符合已知格式規(guī)范，未必仍具備有效性或可使用性。

盡管這批憑證數(shù)據(jù)存在大量無效信息，需進(jìn)行大量去重工作，但其中仍包含數(shù)百條有效憑證，涵蓋云服務(wù)密鑰、NPM令牌及版本控制系統(tǒng)（VCS）身份憑證。截至目前，這些憑證已構(gòu)成供應(yīng)鏈進(jìn)一步遭襲的現(xiàn)實(shí)風(fēng)險(xiǎn)，例如研究員監(jiān)測(cè)到超60%的泄露NPM令牌仍處于有效狀態(tài)。

感染設(shè)備與環(huán)境特征

對(duì)2.4萬個(gè)environment.json文件的分析顯示，約半數(shù)文件為唯一實(shí)例，其中23%對(duì)應(yīng)開發(fā)者本地設(shè)備，其余則來自CI/CD運(yùn)行器等基礎(chǔ)設(shè)施。

研究人員匯總的數(shù)據(jù)表明，87%的受感染設(shè)備為L(zhǎng)inux系統(tǒng)，而76%的感染案例發(fā)生在容器環(huán)境中。

在CI/CD平臺(tái)分布方面，GitHub Actions占比遙遙領(lǐng)先，其次為Jenkins、GitLab CI及AWS CodeBuild。

受影響的CI/CD平臺(tái)

從感染對(duì)象來看，受影響最嚴(yán)重的軟件包為@postman/tunnel-agent@0.6.7和@asyncapi/specs@6.8.3，這兩款軟件包的感染量合計(jì)占所有感染案例的60%以上。

感染包的流行率

研究人員據(jù)此認(rèn)為，若能及早識(shí)別并管控這幾個(gè)核心軟件包，Shai-Hulud的攻擊影響本可大幅降低。此外，從感染模式來看，99%的感染實(shí)例均源于preinstall事件觸發(fā)的node setup_bun.js腳本執(zhí)行，極少數(shù)例外情況大概率為攻擊者的測(cè)試嘗試。

Wiz認(rèn)為，Shai-Hulud幕后攻擊者會(huì)持續(xù)優(yōu)化并演進(jìn)攻擊手段，且預(yù)計(jì)短期內(nèi)將出現(xiàn)更多攻擊波次，甚至可能利用已竊取的海量憑證發(fā)起新一輪攻擊。

參考及來源：https://www.bleepingcomputer.com/news/security/shai-hulud-20-npm-malware-attack-exposed-up-to-400-000-dev-secrets/