SlowMist попереджає, що атака на ланцюг постачання Shai-Hulud 3.0 повернулася

Джерело: CryptoNewsNet Оригінальна назва: SlowMist попереджає, що атака на ланцюг постачання Shai-Hulud 3.0 повернулася Оригінальне посилання: Кібербезпекова компанія SlowMist опублікувала нове попередження після виявлення повернення атаки на ланцюг постачання Shai-Hulud, тепер під назвою версії 3.0. Попередження надійшло від головного офіцера з інформаційної безпеки SlowMist, відомого як 23pds, який закликав команди Web3 та платформи негайно посилити захисти. За повідомленням, останній варіант спрямований на екосистему NPM, широко використовуваний менеджер пакетів у сучасній розробці програмного забезпечення.

Атаки на ланцюг постачання такого типу дозволяють зловмисному коду поширюватися через довірені бібліотеки з відкритим кодом, часто без усвідомлення розробниками. Внаслідок цього навіть невеликі інфекції можуть швидко масштабуватися на кілька проектів. SlowMist зазначив, що раніше були інциденти, зокрема витік API-ключа, пов’язаний з Trust Wallet, який міг виникнути з попередньої версії Shai-Hulud. Повторне появлення шкідливого програмного забезпечення викликає занепокоєння, що зловмисники вдосконалюють і повторно розгортають перевірені техніки.

Чим відрізняється Shai-Hulud 3.0

Дослідники з безпеки кажуть, що Shai-Hulud 3.0 демонструє чіткі технічні зміни у порівнянні з попередніми версіями. Аналіз незалежних дослідників показує, що шкідливе програмне забезпечення тепер використовує інші імена файлів, змінені структури вантажу та покращену сумісність з різними операційними системами. Повідомляється, що новий штам видаляє попередній “мертвий перемикач”, функцію, яка могла б деактивувати шкідливе ПЗ за певних умов. Хоча це видалення зменшує деякий ризик, воно також свідчить про те, що зловмисники спрощують виконання, щоб уникнути виявлення.

Дослідники також зауважили, що шкідливе ПЗ, ймовірно, є обфускованим від оригінального вихідного коду, а не скопійованим безпосередньо. Ця деталь свідчить про доступ до попередніх матеріалів атаки і вказує на більш складного зловмисника. Попередні висновки показують обмежений розповсюдження поки що, що може означати, що зловмисники ще тестують вантаж.

Дослідники досліджують активні пакети NPM

Незалежні дослідники з безпеки підтвердили, що їхні команди активно досліджують новий штам. За даними публічних розкриттів, шкідливе ПЗ було виявлено всередині конкретного пакета NPM, що спричинило глибший огляд пов’язаних залежностей. Розслідування показує, що шкідливе ПЗ намагається витягти змінні середовища, облікові дані хмари та секретні файли, а потім завантажує ці дані до репозиторіїв, контрольованих зловмисниками. Ці техніки відповідають попереднім атакам Shai-Hulud, але демонструють більш вдосконалене послідовність і обробку помилок. Наразі дослідники стверджують, що немає доказів масштабного компромету, однак попереджають, що атаки на ланцюг постачання часто швидко розширюються, коли зловмисники підтверджують стабільність.

Індустрія закликає посилити безпеку залежностей

SlowMist порадив командам проектів провести аудит залежностей, зафіксувати версії пакетів і контролювати аномальну поведінку мережі. Розробників також закликають переглянути процеси збірки та обмежити доступ до чутливих облікових даних. Компанія наголосила, що загрози ланцюга постачання залишаються однією з найнедооціненіших ризиків у Web3 та відкритому програмному забезпеченні. Навіть добре захищені платформи можуть стати вразливими через сторонні бібліотеки. Поки триває розслідування, експерти з безпеки рекомендують бути обережними, а не панікувати, однак погоджуються, що Shai-Hulud 3.0 слугує нагадуванням про те, що ланцюги постачання програмного забезпечення залишаються високовартісною ціллю.