SlowMist: Analiza wskazuje na manipulacje pakietami o dużej objętości, kradzież tokenów i naruszenia repozytoriów w ekosystemach open source
W skrócie
Firma SlowMist, zajmująca się bezpieczeństwem blockchain, informuje o skoordynowanym ataku na łańcuch dostaw „Mini Shai-Hulud”, którego celem były pakiety npm i Python. Atak ten ujawnił dane uwierzytelniające, tokeny GitHub i tajne informacje o infrastrukturze w wielu ekosystemach.
Według raportu opublikowanego przez firmę zajmującą się bezpieczeństwem blockchain Powolna Mgła Na platformie społecznościowej X zidentyfikowano szereg naruszeń łańcucha dostaw, które dotyczą powszechnie używanych pakietów oprogramowania. Wskazuje to na skoordynowaną kampanię włamań zwaną „Mini Shai-Hulud”. Analiza wskazuje, że kilka bibliotek npm o dużym natężeniu ruchu, w tym AntV i Echarts-for-react, a także oparty na Pythonie zestaw SDK durabletask, zostało dotkniętych złośliwymi wersjami rozpowszechnianymi za pośrednictwem zhakowanych danych uwierzytelniających wydawców.
Jeden incydent opisany w raporcie miał miejsce 19 maja 2026 r., gdy konto npm powiązane z adresem e-mail [email chroniony] Został rzekomo naruszony. Ten dostęp miał umożliwić atakującym publikację dużej liczby zmodyfikowanych wersji pakietów, z czego 637 złośliwych wydań rozesłano w 317 oddzielnych pakietach w ciągu 22 minut. Działanie to zostało scharakteryzowane jako zautomatyzowane i szybkie wdrożenie, zgodne z taktyką manipulacji łańcuchem dostaw.
Eskalacja włamań do łańcucha dostaw na wielu platformach i wzorce nadużyć w zakresie uwierzytelniania
Drugie zdarzenie zgłoszono 20 maja 2026 roku czasu pekińskiego i dotyczyło pakietu Python o nazwie durabletask. W ciągu zaledwie około 35 minut opublikowano kilka zmienionych wersji, w tym 1.4.1, 1.4.2 i 1.4.3. Według analizy, aktualizacje te omijały standardowe mechanizmy kontroli wydań i zdawały się imitować legalne kanały dystrybucji oprogramowania firmy Microsoft, co budziło obawy o podszywanie się pod zaufane ekosystemy programistów.
Raport dodatkowo łączy te incydenty z szerszymi naruszeniami bezpieczeństwa, w tym domniemanymi incydentami ujawnienia tokenów GitHub i ukierunkowanym atakiem na Grafana Labs. W przypadku incydentu związanego z GitHub, zgłoszono, że z zainfekowanego urządzenia pracownika uzyskano zagrożone dane uwierzytelniające, co wskazywało na możliwość użycia złośliwego rozszerzenia VS Code. Dane te rzekomo wykorzystano do uzyskania dostępu do prywatnych repozytoriów i ich potencjalnej eksfiltracji. Odrębnie, 16 maja 2026 r. firma Grafana Labs miała doświadczyć nieautoryzowanego dostępu do repozytorium, po którym nastąpiła eksfiltracja danych i żądanie okupu.
Zakres ataku opisano jako rozległy, obejmujący ekosystemy npm i Python, materiały uwierzytelniające programistów oraz wewnętrzne tajne klucze infrastruktury. Zgłoszone cele obejmują klucze dostępu do chmury, osobiste tokeny dostępu GitHub, dane uwierzytelniające npm i PyPI, tajne klucze Kubernetes, tokeny Vault, klucze SSH oraz inne wrażliwe pliki konfiguracyjne powszechnie występujące w środowiskach programistycznych. Wewnętrzne repozytoria GitHub i bazy kodu przedsiębiorstw również zostały zidentyfikowane jako potencjalne punkty narażenia.
Zgodnie z analizą zagrożeń, podejrzewana aktywność atakującego obejmuje szybką kradzież danych uwierzytelniających po instalacji pakietu, nieautoryzowany dostęp do systemów wewnętrznych, boczne przemieszczanie się między infrastrukturą programistyczną a CI/CD oraz odsprzedaż lub wykorzystanie wyciekłych tokenów uwierzytelniających. Dodatkowe zagrożenia obejmują rozprzestrzenianie się łańcucha dostaw na zależne projekty programistyczne oraz potencjalne próby wymuszenia z wykorzystaniem skradzionych danych.
Zalecane środki obronne opisane w raporcie obejmują natychmiastową rotację ujawnionych danych uwierzytelniających między platformami chmurowymi i programistycznymi, weryfikację i wymianę zagrożonych wersji pakietów oraz izolację potencjalnie zagrożonych systemów w celu przeprowadzenia analizy kryminalistycznej. Deweloperom zaleca się również sprawdzenie plików blokady zależności, monitorowanie dzienników CI/CD pod kątem nieprawidłowych instalacji oraz audyt zdarzeń uwierzytelniania pod kątem oznak niewłaściwego użycia tokenów.
Wytyczne dodatkowo podkreślają wzmożony monitoring wykorzystania danych uwierzytelniających, surowszą weryfikację zależności od danych stron trzecich oraz proaktywne śledzenie informacji o zagrożeniach w celu wykrycia wycieków poufnych informacji lub powiązanych wskaźników naruszenia bezpieczeństwa. Zespoły ds. bezpieczeństwa są dodatkowo zachęcane do monitorowania podziemnych rynków pod kątem potencjalnej dystrybucji skradzionych danych uwierzytelniających. Firma podkreśliła, że w miarę rozwoju śledztwa nadal monitoruje sytuację i przekazuje aktualne informacje klientom, których dotyczy problem.
Zastrzeżenie
Zgodnie z Zaufaj wytycznym projektu, należy pamiętać, że informacje zawarte na tej stronie nie mają na celu i nie powinny być interpretowane jako porady prawne, podatkowe, inwestycyjne, finansowe lub jakiekolwiek inne formy porad. Ważne jest, aby inwestować tylko tyle, na utratę czego możesz sobie pozwolić, a w przypadku jakichkolwiek wątpliwości zasięgnąć niezależnej porady finansowej. Aby uzyskać więcej informacji, sugerujemy zapoznać się z warunkami oraz stronami pomocy i wsparcia udostępnianymi przez wydawcę lub reklamodawcę. MetaversePost zobowiązuje się do sporządzania dokładnych i bezstronnych raportów, jednakże warunki rynkowe mogą ulec zmianie bez powiadomienia.
O autorze
Alisa, oddana dziennikarka w MPost, specjalizuje się w kryptowalutach, sztucznej inteligencji, inwestycjach i rozległym obszarze Web3. Ze szczególnym uwzględnieniem pojawiających się trendów i technologii zapewnia wszechstronne informacje, aby informować czytelników i angażować ich w stale zmieniający się krajobraz finansów cyfrowych.
Więcej artykułów
Alisa, oddana dziennikarka w MPost, specjalizuje się w kryptowalutach, sztucznej inteligencji, inwestycjach i rozległym obszarze Web3. Ze szczególnym uwzględnieniem pojawiających się trendów i technologii zapewnia wszechstronne informacje, aby informować czytelników i angażować ich w stale zmieniający się krajobraz finansów cyfrowych.
