به گزارش کارگروه بین الملل خبرگزاری سایبربان، این حمله با بهرهگیری از کرم خودتکثیرشوندهای به نام شای-هولود (Shai-Hulud) انجام شد که بیش از ۵۰۰ بسته در اکوسیستم npm را آلوده کرده است.
آژانس اعلام کرد که مهاجمان پس از دسترسی اولیه، بدافزاری را اجرا کردند که برای یافتن اعتبارنامههای حساس محیط را اسکن میکرد.
هدف اصلی سرقت توکنهای دسترسی شخصی گیتهاب (PATs) و کلیدهای API سرویسهای ابری بزرگ بود.
این اطلاعات سپس در یک مخزن عمومی بارگذاری شد و فرآیندی خودکار برای گسترش سریع کد آلوده در بستههای دیگر آغاز شد.
آژانس به سازمانها توصیه کرد همه نرمافزارهایی که از بستههای npm استفاده میکنند را بررسی کنند، اعتبارنامهها را تغییر دهند و به رفتارهای غیرعادی شبکه توجه ویژه داشته باشند.
شرکت گیتهاب (GitHub) نیز اعلام کرد که در ۱۴ سپتامبر از این حمله مطلع شده و آن را به حساب کاربری یک نگهدارنده ناشناس نسبت داده است.
گیتهاب بلافاصله ۵۰۰ بسته آلوده را از رجیستری npm حذف کرد و جلوی بارگذاری بستههای جدید آلوده را گرفت تا چرخه خودتکثیری متوقف شود.
به گفته زاویه رنه-کورای، مدیر ارشد تحقیقات امنیتی گیتهاب، اگر اقدام سریع گیتهاب و جامعه متنباز انجام نمیشد، ترکیب قابلیت تکثیر خودکار و سرقت انواع مختلف دادههای محرمانه میتوانست موجی بیپایان از حملات ایجاد کند.
او تأکید کرد که چنین حوادثی اعتماد به اکوسیستم متنباز را تضعیف کرده و نشان میدهد نیاز به استانداردهای بالاتر در احراز هویت و انتشار ایمن وجود دارد.
رامی مککارتی، پژوهشگر امنیتی شرکت ویز (Wiz)، توضیح داد که توسعهدهندگان روزانه از صدها بسته نرمافزاری کوچک استفاده میکنند و در این حمله کد مخرب در همین بستهها تزریق شده بود.
این کد نهتنها گذرواژهها و فایلهای پیکربندی را میدزدید، بلکه بهطور فعال به دنبال انتشار در بستههای دیگر نیز بود.
او این حمله را اولین کرم موفق در زنجیره تأمین نرمافزار npm توصیف کرد.
به گفته او، چنین حملاتی میتواند با افشای اسرار و دسترسی به سیستمهای داخلی بهسرعت گسترش یافته و اثرات زنجیرهای بهجا بگذارد.
این حادثه نشان میدهد نشت یک رمز عبور یا کلید ساده میتواند به حملات گسترده و طولانیمدت منجر شود.
این ماجرا دومین بحران بزرگ امنیتی در حوزه متنباز طی ماه جاری است و محققان همچنان بستههای بیشتری از اکوسیستم npm را آلوده شناسایی میکنند.
