网络安全公司CrowdStrike在2024年7月引起全球级别的PC蓝屏死机事件,现在CrowdStrike再次出现安全事件并且潜在危害可能并不比800万台PC蓝屏死机要差。网络安全研究人员BrianKrebs发现目前约有25个NPM软件包受到名为沙虫(Shai-Hulud)恶意软件的影响,沙虫是知名科幻小说《沙丘》中战力非常彪悍的虚构生物。
沙虫恶意软件的破坏力在于:当开发者从NPM安装已经被沙虫感染的软件包时,沙虫就会在这名开发者的机器上搜索各种访问令牌(Token),然后利用这个令牌感染这名开发者发布或具有维护权限的其他软件包。
研究人员将此次的沙虫恶意软件描述为是能够自我复制的蠕虫,通过自我复制可以在短时间内感染海量的NPM软件包,目前已知至少有187个NPM软件包已经被感染。
其中CrowdStrike提供或维护的25个流行的NPM软件包也被感染,这意味着CrowdStrike工程师的设备也同样被感染,收到通知后CrowdStrike火速删除被感染的软件包避免蠕虫病毒继续传播。
值得注意的是NPM软件包被感染只是我们能够看到的现象之一,因为沙虫恶意软件还会搜寻其他凭据例如AWS、Azure、GCP、GitHub、npm,甚至还会写入GitHubActions工作流文件,在开发者运行CI/CD期间泄露机密信息,确保在初始感染后还能继续长期访问。
目前我们并不清楚CrowdStrike或其他开发者的AWS之类的凭据是否泄露,如果也被病毒窃取则可能会泄露海量机密数据,只不过CrowdStrike或其他公司暂未透露详情。
同样可怕的是沙虫病毒还可以继续潜伏,只要有一名开发者目前仍然运行包含病毒的软件包,那么就有可能通过这名开发者继续传播病毒并重新引起大范围感染事件。
近期使用NPM存储库安装软件包的开发者应当仔细检查,这里有目前已知受感染的软件包清单:https://www.koi.security/blog/shai-hulud-npm-supply-chain-attack-crowdstrike-tinycolor
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】