TL, डॉ — एक स्व-प्रतिकृति एनपीएम "वर्म" जिसे डब किया गया है शाई-हुलुद लोकप्रिय पैकेजों में ज़हर घोला गया, डेवलपर/CI सीक्रेट्स चुराए गए, और फिर उन सीक्रेट्स का इस्तेमाल करके और भी ज़्यादा दुर्भावनापूर्ण संस्करण प्रकाशित किए गए, जिससे पीड़ितों को नए प्रसार केंद्र मिल गए। खुलासे के कुछ ही घंटों के भीतर, स्क्राइब ने हमारे ग्राहकों के SBOM और बिल्ड अटेस्टेशन की पूरे पोर्टफोलियो में जाँच की और पुष्टि की कि उनकी पाइपलाइनें नहीं किसी भी संभावित संस्करण को हटाना। हमारे पास किसी भी देरी से आने वाले संस्करण को रोकने के लिए एक नीतिगत सुरक्षा भी है।
क्या हुआ
15-17 सितंबर की शुरुआत में, शोधकर्ताओं ने बड़े पैमाने पर आपूर्ति-श्रृंखला में समझौता होने की सूचना दी NPM इस अभियान ने वैध पैकेजों के नए रिलीज़ को हथियार बनाया और एक बहु-स्तरीय पेलोड गिराया जो:
- उजागर हुए रहस्य (एनपीएम/गिटहब टोकन, क्लाउड क्रेडेंशियल, एपीआई कुंजियाँ), कभी-कभी लोकप्रिय गुप्त-स्कैनिंग टूल का उपयोग करके;
- स्व-प्रचारित प्रभावित अनुरक्षकों से नए दुर्भावनापूर्ण संस्करण लाने के लिए चुराए गए प्रकाशन अधिकारों का दुरुपयोग करना।
- कई मामलों में, प्रकाशित चोरी का डेटा GitHub पर (उदाहरण के लिए, रिपोज़ का नाम “शाई-हुलुद” और “शाई-हुलुद माइग्रेशन”) और यहां तक कि कुछ निजी रिपॉजिटरी को सार्वजनिक भी कर दिया।
प्रारंभिक आंकड़े इस प्रकार थे 150–200+ पैकेज और सैकड़ों दुर्भावनापूर्ण संस्करण, जिससे कई अनुरक्षक प्रभावित हुए—जिनमें जाने-माने विक्रेता नामस्थानों के कुछ पैकेज भी शामिल हैं। उल्लेखनीय रूप से, इस लहर ने उन पारिस्थितिकी तंत्रों को भी प्रभावित किया जिनका उपयोग कोणीय डेवलपर्स (उदाहरण के लिए, एनजीएक्स-बूटस्ट्रैप, ng2-फ़ाइल-अपलोड) और लोकप्रिय @ctrl/टिनीकलर पुस्तकालय।
यह हमला अलग क्यों है:
- आईटी इस कृमि जैसा: जब कोई डेवलपर या CI संक्रमित संस्करण खींचता है, तो पेलोड क्रेडेंशियल्स को इकट्ठा करने का प्रयास करता है और अधिक संक्रमित पैकेज प्रकाशित करें, निरंतर मानव दिशा के बिना विस्फोट त्रिज्या स्नोबॉलिंग।
- लक्ष्य सिर्फ कोड निष्पादन नहीं है, यह है निरंतर प्रकाशक समझौता और पारिस्थितिकी तंत्र-स्तर पर प्रसार, जो "पॉइंट-इन-टाइम" सफाई को अपर्याप्त बनाता है।
संभावित परिणाम
- क्रेडेंशियल एक्सपोजर और पार्श्व आंदोलन। एक्सफिल्ट्रेटेड टोकन, पैकेजों के हटाए जाने के बाद भी बैकडोर प्रकाशन, रेपो छेड़छाड़, तथा CI/CD दृढ़ता को सक्षम कर सकते हैं।
- मौन निर्भरता विषाक्तता. लोकप्रिय पैकेज अक्सर अपडेट होते रहते हैं; एकल एनएमपी स्थापित करें या CI बिल्ड बड़े पैमाने पर दुर्भावनापूर्ण पोस्ट-इंस्टॉल स्क्रिप्ट आयात कर सकता है।
- निजी आईपी का सार्वजनिक रिसाव। कुछ पीड़ितों ने देखा निजी रेपो को सार्वजनिक करने के लिए मजबूर किया गया प्रचार के दौरान कानूनी और प्रतिष्ठा संबंधी जोखिम बढ़ जाता है।
स्क्राइब ने ग्राहकों को तुरंत प्रतिक्रिया देने में कैसे मदद की
पहली विश्वसनीय रिपोर्ट के कुछ ही घंटों के भीतर, स्क्राइब ने एक अभियान शुरू कर दिया। दो-तरफा सत्यापन और रोकथाम प्लेबुक ग्राहक परिवेश में:
- एसबीओएम और निर्भरता ग्राफ स्वीप
- रिपोज़िटरी, छवियों और फ़ंक्शन में लगातार उत्पन्न SBOMs और लॉकफ़ाइल्स की क्वेरी की गई किसी भी संदर्भित दुर्भावनापूर्ण पैकेज नाम/संस्करण का पता लगाएं शाई-हुलुद खुलासे से जुड़ा हुआ (उदाहरण के लिए, @ctrl/टिनीकलर वेरिएंट; प्रभावित एंगुलर पैकेज)।
- परिणाम: हमारे प्रबंधित पोर्टफोलियो के लिए, कोई भी सक्रिय पाइपलाइन या आर्टिफैक्ट चिह्नित संस्करणों का उपभोग नहीं कर रहे थे; ग्राहकों को उसी रात साक्ष्य के साथ सूचित कर दिया गया।
- नीति-जैसा-कोड गार्डरेलिंग और गेटिंग
- अस्थायी रूप से टिकी महत्वपूर्ण पैकेज, अवरुद्ध अहस्ताक्षरित या अप्रमाणित अद्यतन, और लागू फाटकों यह अलर्ट तब आता है जब पता लगने वाले परिणाम IoCs (नाम/संस्करण, प्रकाशन विंडो, अनुसंधान टीमों के संकेतक) से मेल खाते हैं।
- हमारे एजेंटिक वर्कफ़्लो का उपयोग करने वाली टीमों के लिए, स्वत: सुधार प्रक्रिया स्वच्छ संस्करण बम्प्स का प्रस्ताव रखा और एक-क्लिक समीक्षा के लिए संलग्न प्रमाणों के साथ पी.आर. बनाए।
यह क्यों काम किया?
- सतत साक्ष्य आवधिक ऑडिट से बेहतर है। क्योंकि स्क्राइब लगातार SBOMs, स्कैनर आउटपुट और बिल्ड एकत्र करता है सत्यापन, हम जवाब दे सकते हैं “क्या हम उजागर हो गये?” तत्काल, पोर्टफोलियो-व्यापी तथ्यों के साथ, न कि सर्वोत्तम प्रयास अनुमानों के साथ।
- रेलिंग फैलाव को रोकती है। भले ही कोई डेवलपर भाग गया हो एनपीएम अपडेट स्थानीय स्तर पर, स्क्राइब का प्री-प्रोड गेट्स दूषित कलाकृतियों को एकीकरण, स्टेजिंग या उत्पादन में परिवर्तित होने से रोका जा सकता है।
- एजेंटिक प्रतिक्रिया MTTR को बंद कर देती है। हमारे सुधार एजेंट पीआर (पिन, रिवर्ट या अपग्रेड) का मसौदा तैयार करते हैं, जहां आवश्यक हो, सीआई रहस्यों को घुमाते हैं, और हिरासत की श्रृंखला का दस्तावेजीकरण करते हैं - इस प्रकार एक संघर्ष को चेकलिस्ट में बदल देते हैं।
यदि आप आज अपने जोखिम का आकलन कर रहे हैं
- पहले इन्वेंटरी. घटना विंडो में प्रकाशित प्रभावित पैकेज नामों/संस्करणों के लिए SBOMs/लॉकफ़ाइल्स और आर्टिफ़ैक्ट मैनिफ़ेस्ट खोजें। (कई विक्रेताओं के पास रनिंग टैली और IoCs हैं।)
- किसी भी मशीन या रनर से जारी टोकन को घुमाएँ जिसने एक संक्रमित पैकेज निष्पादित किया। पार्श्व गति मान लें; विश्वसनीय बिल्डरों से पुनर्निर्माण करें।
- GitHub ऑडिट लॉग की समीक्षा करें नामित रिपोज़ के लिए “शाई-हुलुद” या "शाई-हुलुद माइग्रेशन", शाखाओं को हटा दिया गया, या सार्वजनिक माइग्रेशन को मजबूर किया गया।
- अपनी पाइपलाइन को मजबूत करें: हस्ताक्षर/प्रमाण सत्यापन लागू करें, महत्वपूर्ण लाइब्रेरीज़ को पिन करें, और नीति विफलताओं पर रोक लगाएं (उदाहरण के लिए, अहस्ताक्षरित/अज्ञात प्रकाशक, असामान्य पोस्ट-इंस्टॉल स्क्रिप्ट)।
बड़ा चित्र
शाई-हुलुद एक पूर्वावलोकन है कि आपूर्ति-श्रृंखला के खतरे किस ओर जा रहे हैं: क्रेडेंशियल चुराने वाला, स्वयं-प्रसारित करने वाला मैलवेयर जो डेवलपर इकोसिस्टम को ही हथियार बना देता है। इसका जवाब वीरतापूर्ण घटना प्रतिक्रिया नहीं है; बल्कि निरंतर आश्वासन- हस्ताक्षरित साक्ष्य, सत्यापन योग्य उद्गम, नीति-जैसा-कोड, तथा स्वचालित, एजेंटिक सुधार जो डेवलपर की गति से चलता है।
यदि आप जोखिम को मान्य करने या खड़े होने में सहायता चाहते हैं रेलिंग और गेटिंग यदि आप इस प्रकार के आक्रमण को रोक सकते थे, तो हम आपकी टीम को आपकी स्वयं की पाइपलाइनों और SBOMs का उपयोग करके एक अनुकूलित मूल्यांकन के माध्यम से मार्गदर्शन करने में प्रसन्न होंगे।
अधिक जानकारी के लिए, हमसे संपर्क करें
यह सामग्री आपके लिए स्क्राइब सिक्योरिटी द्वारा लाई गई है, जो एक अग्रणी एंड-टू-एंड सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समाधान प्रदाता है - जो संपूर्ण सॉफ्टवेयर आपूर्ति श्रृंखलाओं में कोड कलाकृतियों और कोड विकास और वितरण प्रक्रियाओं के लिए अत्याधुनिक सुरक्षा प्रदान करता है। और अधिक जानें.
संबंधित पोस्ट
