SlowMist предупреждает о возвращении атаки на цепочку поставок Shai-Hulud 3.0

Источник: CryptoNewsNet Оригинальный заголовок: SlowMist предупреждает о возвращении атаки на цепочку поставок Shai-Hulud 3.0 Оригинальная ссылка: Кибербезопасностная компания SlowMist выпустила новое предупреждение после обнаружения возвращения атаки на цепочку поставок Shai-Hulud, теперь обозначенной как версия 3.0. Об этом сообщил главный специалист по информационной безопасности SlowMist, известный как 23pds, который призвал команды Web3 и платформы немедленно усилить защиту. Согласно предупреждению, последняя версия нацелена на экосистему NPM, широко используемый менеджер пакетов в современном программном обеспечении.

Атаки на цепочку поставок такого типа позволяют вредоносному коду распространяться через доверенные библиотеки с открытым исходным кодом, зачастую без ведома разработчиков. В результате даже небольшие заражения могут быстро масштабироваться на несколько проектов. SlowMist отметил, что ранее зафиксированы инциденты, включая утечку API-ключа, связанный с Trust Wallet, который, возможно, произошел из более ранней версии Shai-Hulud. Повторное появление вредоносного ПО вызывает опасения, что злоумышленники совершенствуют и повторно развертывают проверенные техники.

Чем отличается Shai-Hulud 3.0

Исследователи безопасности отмечают, что Shai-Hulud 3.0 демонстрирует явные технические изменения по сравнению с предыдущими версиями. Анализ независимых экспертов показывает, что вредоносное ПО теперь использует разные имена файлов, измененные структуры полезной нагрузки и улучшенную совместимость с различными операционными системами. Сообщается, что новая версия устранила предыдущий «мертвый переключатель», функцию, которая могла отключить вредоносное ПО при определенных условиях. Хотя это уменьшает некоторые риски, это также говорит о том, что злоумышленники упрощают выполнение, чтобы избежать обнаружения.

Исследователи также заметили, что вредоносное ПО, по всей видимости, зашифровано от исходного кода, а не скопировано напрямую. Эта деталь указывает на доступ к материалам предыдущих атак и свидетельствует о более продвинутом злоумышленнике. Первые данные показывают ограниченное распространение на данный момент, что может означать, что злоумышленники все еще тестируют полезную нагрузку.

Исследователи изучают активные пакеты NPM

Независимые эксперты по безопасности подтвердили, что их команды активно исследуют новый штамм. Согласно публичным заявлениям, вредоносное ПО было обнаружено внутри конкретного пакета NPM, что вызвало более глубокий анализ связанных зависимостей. В ходе расследования выяснилось, что вредоносное ПО пытается извлечь переменные окружения, облачные учетные данные и секретные файлы, а затем загружает эти данные в репозитории, контролируемые злоумышленниками. Эти методы соответствуют предыдущим атакам Shai-Hulud, но демонстрируют более изощренную последовательность и обработку ошибок. В настоящее время исследователи заявляют, что нет доказательств масштабного компрометации, однако предупреждают, что атаки на цепочку поставок часто быстро расширяются после подтверждения злоумышленниками стабильности.

Индустрия призвана усилить безопасность зависимостей

SlowMist рекомендовала командам проектов провести аудит зависимостей, зафиксировать версии пакетов и следить за аномальной сетевой активностью. Разработчиков также призывают пересмотреть процессы сборки и ограничить доступ к чувствительным учетным данным. Компания подчеркнула, что угрозы цепочки поставок остаются одним из наиболее недооцененных рисков в Web3 и открытом программном обеспечении. Даже хорошо защищенные платформы могут стать уязвимыми через сторонние библиотеки. В то время как расследования продолжаются, эксперты по безопасности советуют проявлять осторожность, а не паниковать, однако согласны с тем, что Shai-Hulud 3.0 служит напоминанием о том, что цепочки поставок программного обеспечения остаются высокоценной целью.