SlowMist предупреждает о возвращении атаки на цепочку поставок Shai-Hulud 3.0

Компания по кибербезопасности SlowMist выпустила новое предупреждение. После обнаружения возобновления атаки на цепочку поставок Shai-Hulud, теперь обозначенной как версия 3.0. Сигнал поступил от главного специалиста по информационной безопасности SlowMist, известного как 23pds, который призвал команды Web3 и платформы немедленно усилить защиту. Согласно предупреждению, последняя версия нацелена на экосистему NPM — широко используемый пакетный менеджер в современной разработке программного обеспечения.

Атаки на цепочку поставок такого типа позволяют вредоносному коду распространяться через доверенные open-source библиотеки, зачастую незаметно для разработчиков. В результате даже небольшие заражения могут быстро масштабироваться на множество проектов. SlowMist отметила, что предыдущие инциденты, включая утечку API-ключей, связанную с Trust Wallet, могли быть вызваны ранней версией Shai-Hulud. Появление вредоносного ПО снова вызывает опасения, что злоумышленники совершенствуют и повторно используют проверенные методы.

Что отличает Shai-Hulud 3.0

Исследователи безопасности отмечают, что Shai-Hulud 3.0 демонстрирует явные технические изменения по сравнению с предыдущими версиями. Анализ независимых экспертов показывает, что вредоносное ПО теперь использует другие имена файлов, изменённые структуры полезной нагрузки и улучшенную совместимость с различными операционными системами. Сообщается, что новая версия удаляет ранее существовавший «dead man switch» — функцию, которая могла деактивировать вредоносное ПО при определённых условиях. Хотя удаление снижает часть риска, оно также указывает на то, что злоумышленники упрощают выполнение атак для обхода обнаружения.

Исследователи также отметили, что вредоносный код, похоже, обфусцирован относительно исходного кода, а не скопирован напрямую. Эта деталь указывает на доступ к материалам предыдущих атак и на более сложного злоумышленника. Первичные данные показывают ограниченное распространение, что предполагает, что атака находится на стадии тестирования.

Исследователи изучают активные NPM-пакеты

Независимый исследователь безопасности Чарли Эриксен подтвердил, что его команда активно изучает новую версию. По данным публичных отчётов, вредоносное ПО было обнаружено в конкретном NPM-пакете, что вызвало углублённую проверку связанных зависимостей. Расследование показывает, что вредоносный код пытается извлечь переменные окружения, облачные учётные данные и секретные файлы, после чего загружает эти данные в репозитории, контролируемые злоумышленниками. Эти методы совпадают с предыдущими атаками Shai-Hulud, но демонстрируют более продуманную последовательность действий и обработку ошибок. В настоящее время исследователи не выявили признаков масштабного компромета, однако предупреждают, что атаки на цепочку поставок часто быстро распространяются после подтверждения стабильности вредоносного ПО.

Отрасль призвана усилить безопасность зависимостей

SlowMist рекомендовал командам проектов проводить аудит зависимостей, фиксировать версии пакетов и отслеживать аномальное сетевое поведение. Разработчикам также советуют проверять сборочные пайплайны и ограничивать доступ к конфиденциальным данным. Компания подчеркнула, что угрозы цепочки поставок остаются одной из наиболее недооценённых рисков в Web3 и open-source программном обеспечении. Даже хорошо защищённые платформы могут быть скомпрометированы через сторонние библиотеки. По мере продолжения расследований эксперты по безопасности рекомендуют проявлять осторожность, а не панику. Тем не менее, они согласны, что Shai-Hulud 3.0 является наглядным напоминанием о том, что цепочки поставок программного обеспечения остаются высокоценной целью.