GPT-4o LATENCY240msCLAUDE OPUS 4.7ONLINENVDA+1.2%MISTRAL LARGE 2STREAMINGOPENAI API99.97% UPTIMEGROQ MIXTRAL580 tok/sGEMINI 2.5 PROCTX 2MANTHROPIC STATUSOKTSMC+0.4%PERPLEXITYINDEXINGGPT-4o LATENCY240msCLAUDE OPUS 4.7ONLINENVDA+1.2%MISTRAL LARGE 2STREAMINGOPENAI API99.97% UPTIMEGROQ MIXTRAL580 tok/sGEMINI 2.5 PROCTX 2MANTHROPIC STATUSOKTSMC+0.4%PERPLEXITYINDEXING
پرش به محتوای مقاله

گزارش Wiz: ۲۵ هزار مخزن گیت‌هاب قربانی کرم جدید npm شدند

Decipher
منبع خبر
·۱۵ خرداد ۱۴۰۵۲ دقیقه مطالعه
تصویر مقاله درباره کرم جدید NPM به نام Shai Hulud
تصویر مقاله درباره کرم جدید NPM به نام Shai Hulud
اشتراک‌گذاری
واقعاً چه چیز جدید است؟

تغییر بنیادین این حمله در استفاده از قابلیت Discussion گیت‌هاب برای اجرای دستورات از راه دور است که باعث می‌شود نفوذ مهاجم در سیستم، بدون نیاز به Triggerهای شناسایی‌شده توسط تیم‌های امنیتی، دائمی شود.

اگر در خط لوله توسعه‌ی خود از بسته‌های npm استفاده می‌کنید، احتمالاً همین حالا یک در پشتی دائمی در زیرساخت‌هایتان دارید و متوجه آن نیستید. باید بدانید که امنیت محیط توسعه شما دیگر با یک تغییر رمز عبور ساده تأمین نمی‌شود.

حملات زنجیره تأمین (Supply-chain attack) — شبیه مسموم کردن آرد در آسیاب برای اینکه تمام نانوایی‌های شهر ناخوااهه نان سمی بپزند — اکنون از سرقت ساده داده‌ها به تسخیر کامل زیرساخت‌ها تغییر مسیر داده‌اند. همان‌طور که در تحلیل‌های پیشین ما درباره‌ی امنیت مدل‌های بازمتن و زیرساخت‌های کدنویسی اشاره کردیم، اعتماد به بسته‌های Third-party بزرگ‌ترین نقطه ضعف تیم‌های DevOps است. این کمپین که SHA1-HULUD 2.0 نامیده شده، نسخه‌ی قدرتمندتری از کرمی است که در سپتامبر ۲۰۲۴ شناسایی شده بود.

به نقل از Wiz، این حمله اکوسیستم‌های بزرگی مثل Zapier، Postman و PostHog را هدف قرار داده است. طبق تحلیل این شرکت، سرعت گسترش این کرم در مراحل اولیه خیره‌کننده بود و هر ۳۰ دقیقه حدود ۱,۰۰۰ مخزن جدید را آلوده می‌کرد.

جزئیات فنی این نفوذ به شرح زیر است:

  • فاز اجرا: کد مخرب در مرحله‌ی preinstall از طریق اسکریپت‌های چرخه عمر نصب، هم در لپ‌تاپ‌های توسعه‌دهندگان و هم در خط لوله‌های خودکار اجرا می‌شود.
  • بسته‌های توزیع شده: این حمله فایل‌های setup_bun.js و bun_environment.js را روی سیستم هدف می‌نشاند.
  • ماندگاری در سیستم: کد مخرب، ماشین آلوده را به عنوان یک اجراکننده خود-میزبان (Self-hosted runner) در گیت‌هاب با نام 'SHA1HULUD' ثبت می‌کند.

برای حفظ دسترسی، مهاجم یک فایل گردش کار مخرب به مسیر .github/workflows/discussion.yaml تزریق می‌کند. این ترفند به هکر اجازه می‌دهد تنها با باز کردن یک «بحث» (Discussion) در مخزن قربانی، هر دستوری را روی ماشین آلوده اجرا کند. در نهایت، یک قطعه کد مجزا تمام اسرار امنیتی گیت‌هاب را جستجو کرده و در فایلی به نام actionsSecrets.json ذخیره و ارسال می‌کند.

این تغییر رویکرد از «سرقت یک‌باره» به «حضور دائمی»، پروفایل ریسک تیم‌های فنی را عوض می‌کند. در واقع لپ‌تاپ یک برنامه‌نویس به پلی نامرئی برای ورود هکرها به کل شبکه شرکت تبدیل می‌شود. مهاجم با استفاده از قابلیت Discussion، تمامی سیستم‌های مانیتورینگ سنتی را دور می‌زند.

گام بعدی شما

  • فایل‌های YAML در مسیر .github/workflows را برای هرگونه تغییر یا فایل ناشناخته بازرسی کنید.
  • فوراً لاگ‌های مربوط به self-hosted runnerهای خود را بررسی کنید تا نام 'SHAH1HULUD' یافت نشود.
  • لیست به‌روز شده‌ی بسته‌های آلوده را در وبلاگ Socket چک کنید.

اما پیچیدگی‌های این حمله در سطح سازمان‌ها تازه شروع شده است؛ در گزارش بعدی، اثر این حفره‌ها بر معماری Zero Trust را بررسی خواهیم کرد.

چرا این موضوع مهم است؟

این حمله با سوءاستفاده از اعتبار اکوسیستم npm، اعتماد توسعه‌دهندگان به ابزارهای اتوماسیون را تخریب می‌کند. از نظر استراتژیک، این اتفاق ثابت می‌کند که قابلیت‌های اجتماعی گیت‌هاب (مانند Discussions) می‌توانند به بردارهای حمله (Attack Vectors) تبدیل شوند.

تأثیر برای ایران

برای توسعه‌دهندگان ایرانی که از npm استفاده می‌کنند، این هشدار یک یادآوری جدی برای بازبینی دسترسی‌های GitHub Actions است تا از تبدیل شدن محیط توسعه به در پشتی برای نفوذ به شبکه‌های داخلی جلوگیری شود.

·نگاه ما
تحریریه دات‌هوش

تحلیل ما نشان می‌دهد که SHA1-HULUD 2.0 دیگر به دنبال یک «ضربه‌ی سریع» نیست، بلکه روی ایجاد زیرساخت C2 (کنترل و فرمان) در محیط داخلی شرکت‌ها تمرکز دارد. آنچه از این خبر می‌توان آموخت این است که متدولوژی پاک‌سازی سیستم‌ها باید تغییر کند؛ در این سطح از نفوذ، تغییر کلیدهای امنیتی کافی نیست و تنها راه حل، نابودی کامل ماشین‌های آلوده و بازسازی آن‌ها از صفر است.

منابع

موضوع‌ها
Cloud Security Risk

مقاله‌های مرتبطهمه ←

اخبار کوتاه روزانه

Recursive Superintelligence: ۶۵۰ میلیون دلار برای حذف انسان از چرخه پژوهش AI

۲۶ اردیبهشت ۱۴۰۵۵ دقیقه
اخبار کوتاه روزانه

عرضه اولیه Cerebras: ارزش ۵۶.۴ میلیارد دلاری برای رقیب جدی انویدیا

۲۶ اردیبهشت ۱۴۰۵۲ دقیقه
اخبار کوتاه روزانه

مایکروسافت: ۱۰۰ عامل هوش مصنوعی ۱۶ آسیب‌پذیری جدید در ویندوز پیدا کردند

۲۶ اردیبهشت ۱۴۰۵۳ دقیقه

گفتگو

شماره ۰۵۳پنج‌شنبه‌های هوش‌محور

بسته‌ی هفتگی دات‌هوش

۵ خبر، ۲ ابزار، ۱ پرامپت — به‌علاوه ۳ بخش جدید. بدون هیاهو، هر پنج‌شنبه صبح.

خبر کلیدی
ابزار کاربردی
پرامپت حرفه‌ای
تحلیل پژوهش
به‌زودی
زاویه‌ی ایرانی
به‌زودی
تمرین این هفته
به‌زودی
یاتلگرام۴۲٬۵۸۰RSS
۰۰:۰۰تا شماره بعدیهفته‌ی ۵۳ بدون وقفه