Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

reddit+1hackread+1itpro+1Այն բանից հետո, երբ Miasma որդը վտանգեց Microsoft -ի 73 GitHub պահոցները ծրագրային ապահովման մատակարարման շղթայի ամենաագրեսիվ հարձակումներից մեկում, անվտանգության հետազոտողները նախազգուշացրել են, որ հարձակման շրջանակի սկզբնաղբյուրը հայտնվել է հենց GitHub-ում, ինչը նվազեցնում է պատնեշը ապագա կրկնօրինակող արշավների համար՝ ուղղված ծրագրավորողների ենթակառուցվածքների դեմ ամբողջ աշխարհում:
Բազմաթիվ պահոցներ, որոնք պիտակավորված էին որպես Miasma գործիքակազմի բաց կոդով թողարկումներ, հայտնվեցին GitHub-ում հունիսի 9-ին՝ համայնքի զեկույցների համաձայն, այն բանից հետո, երբ մայիսին TeamPCP սպառնալիքների խումբը հրապարակեց հիմքում ընկած Mini Shai-Hulud շրջանակը: Մեծ Բրիտանիայի Կիբերանվտանգության ազգային կենտրոնը (NCSC) առանձին կոչ է արել կազմակերպություններին վերանայել իրենց ծրագրային կախվածությունները՝ նախազգուշացնելով, որ բաց կոդով փաթեթների վրա ուղղված մատակարարման շղթայի հարձակումներն արագանում են:itpro+3
Miasma որդը զարգացել է Mini Shai-Hulud-ից՝ մոդուլային TypeScript/Bun գործիքակազմից՝ հավատարմագրերի հավաքման, մատակարարման շղթայի թունավորման և գաղտնագրված արտահոսքի համար: TeamPCP-ն առաջին անգամ հրապարակեց Shai-Hulud-ի սկզբնաղբյուրը մայիսի 12-ին՝ Datadog Security Labs-ի և Akamai-ի վերլուծությունների համաձայն: ReversingLabs-ն այն ժամանակ նախազգուշացրել էր, որ հրապարակային թողարկումը տրամադրել է «գծագիր սպառնալիքներ ստեղծողների համար», ինչը նվազեցնում է պատնեշը ծրագրավորողների միջավայրերի վրա լայնածավալ հարձակումների համար:reversinglabs+2
Կրկնօրինակող գործողությունները գրեթե անմիջապես հետևեցին: Մայիսի կեսերին OX Security-ն բացահայտեց նոր դերակատարների, որոնք օգտագործում էին Shai-Hulud-ի կլոնները վնասակար npm փաթեթներում: Miasma տարբերակն այնուհետև սրեց արշավը՝ հարվածելով Red Hat-ի npm անվանատարածքին հունիսի 1-ին և վտանգելով 32 փաթեթ՝ շաբաթական մոտ 80,000-ից 117,000 ներբեռնումներով: Հունիսի 5-ին որդը հասավ Microsoft-ի Azure GitHub կազմակերպություններին՝ տեղադրելով ծանրաբեռնվածություններ, որոնք ավտոմատ կերպով գործարկվեցին AI կոդավորման գործիքներում, ներառյալ Claude Code-ը, Gemini CLI-ն և Cursor-ը: GitHub-ն անջատեց բոլոր 73 տուժած պահոցները ավտոմատ հայտնաբերումից 105 վայրկյան անց, իսկ Microsoft-ը հետագայում հաստատեց, որ պահոցները վերականգնվել են:thehackernews+6
NCSC-ի խորհրդատվությունը, որը հրապարակվել է հունիսի սկզբին, ուրվագծել է անհապաղ գործողություններ կազմակերպությունների համար. կախվածությունների ավտոմատ թարմացումների դադարեցում վտանգված լինելու կասկածի դեպքում, նոր տարբերակների ձեռքով վերանայում, բացահայտված հավատարմագրերի փոփոխում, բազմագործոն նույնականացման կիրառում ծրագրավորողների և գրանցամատյանների հաշիվների վրա, և մասնավոր կամ վստահելի գրանցամատյանների օգտագործում:ncsc+1
«Այս հարձակումները ընդգծում են այն անհրաժեշտությունը, որ վերանայվի, թե ինչպես են կախվածությունները ներդրվում և կառավարվում՝ որպես անվտանգ զարգացման կենսացիկլի մաս», – ասել է NCSC-ը:ncsc
SANS Internet Storm Center-ը նշել է, որ մայիսի վերջին «բազմաթիվ վաճառողներ հայտնել են, որ Shai-Hulud շրջանակի սկզբնաղբյուրը հրապարակվել է GitHub-ում» և «կրկնօրինակող ճյուղերը արդեն աշխատում էին»: Miasma տարբերակի նմանատիպ հասանելիության պատճառով անվտանգության թիմերը բախվում են սպառնալիքների ընդլայնվող մակերեսի: StepSecurity-ն արդեն բացահայտել է վնասակար ծրագրի հետագա էվոլյուցիան, որը հետևվում է որպես Hades, որն ավելացնում է կործանարար ջնջող հնարավորություններ, որոնք գործարկվում են, եթե գողացված նշանները չեղարկվեն:isc.sans+2
Կազմակերպությունները, որոնք հիմնվում են բաց կոդով կախվածությունների վրա, այժմ աշխատում են մի միջավայրում, որտեղ հարձակողական մատակարարման շղթայի գործիքակազմերը ազատ հասանելի են, և ապացուցված է, որ դրանք արդյունավետ են աշխարհի ամենախոշոր ծրագրային ապահովման ընկերություններից մի քանիսի դեմ: