Tsaron npm a ƙarƙashin matsin lamba: hare-haren da za a iya kaiwa, mai kiyaye bayanan sirri, da tsauraran dokoki na GitHub

Sabuntawa na karshe: 09/23/2025
Author: C SourceTrail
  • Hare-haren sarkar samar da npm masu aiki sun ba da damar yin amfani da phishing da masu kula da asusun don tura abubuwan da aka lalata.
  • Yada kansa "Shai-Hulud" malware ya saci sirrin kuma ya sake buga fakitin da ba su dace ba a ma'auni.
  • GitHub yana aiwatar da ingantattun sarrafawa: 2FA don wallafe-wallafen gida, alamomin ɗan gajeren lokaci, da amintaccen bugu.
  • Jagorar yanayin muhalli yana jaddada jujjuyawar alama, binciken dogaro, da ɗaukar tushen 2FA na tushen FIDO da ayyukan aiki na OIDC.

npm bayanin tsaro

Bude tushen ikon ci gaba na zamani, amma sikelin sa da buɗewar sa kuma suna haifar da faffadan kai hari inda npm tsaro dole ne a ci gaba da canzawa don tafiya tare da abokan gaba.

A cikin 'yan makonnin nan, masu bincike da masu yin rajista sun yi cikakken bayani game da jerin abubuwan da suka shafi npm da suka haɗu da aikin injiniya na zamantakewa, sata na shaida, da kuma buga fakitin mugunta— ƙarewa a cikin yaƙin neman zaɓe wanda ke da ikon yadawa ta hanyar amintattun masu kula da ayyukan sakin nasu.

Hare-hare na baya-bayan nan game da yanayin yanayin npm

npm tsaro rajista

Rahotanni da yawa sun bayyana phishing da aka yi niyya da nufin masu kula da npm, sannan saurin tura sabbin nau'ikan ɗauka bayan shigar da kaya wanda ke aiwatar da injunan haɓakawa da tsarin CI.

Yaƙin neman zaɓe ɗaya, wanda aka bi shi azaman "Shai-Hulud," ya isar da tsutsa mai matakai da yawa waɗanda ke zaluntar muhalli don ɓoyewa, cin zarafin GitHub APIs, da ƙoƙarin yin yada kai ta hanyar buga fakitin da ba su da kyau a ƙarƙashin asusun da aka lalata.

Ƙungiyoyin tsaro da masu yin rajista sun yi gaggawar amsawa: GitHub ya cire ɗaruruwan fakitin da abin ya shafa kuma ya ƙara toshe abubuwan da ke da alaƙa da alamun matsala na malware, matakan ya kara rushewa fadin rajista.

Binciken daban-daban ya danganta dabarun zuwa abubuwan da suka faru a baya (ciki har da "S1ngularity"/Nx satar ayyukan aiki da sauye-sauye na sabuntawa zuwa shahararrun fakiti), yana nuna haɓakawa daga keɓantaccen sata na sahihanci zuwa sarkar samar da kayayyaki ta atomatik zagi.

  • Amintattun fakitin an sabunta su tare da rubutun da aka shigar da su don girbi alamu da exfiltrate data.
  • Ƙididdigar lissafi sun buga sabbin nau'ikan, haɓaka haɗari a cikin ayyukan da abubuwan dogara.

Taswirar hanyar GitHub don taurare bugun npm

kunshin tsaro hardening

Don hana cin zarafi da ƙunsar malware, GitHub ya zayyana canje-canje waɗanda ke ƙunshe da farfajiyar bugun wallafe-wallafe da ɗaga mashaya tabbatarwa mai kula.

  • Buga na gida zai buƙaci Ingancin abubuwa biyu (2FA), ba tare da zaɓin kewayawa ba.
  • Alamu na granular da aka yi amfani da su don bugawa za su sami a iyakar rayuwa na kwana bakwai.
  • Legacy classic tokens za a soke da bugawa ta hanyar alamu za a hana ta ta tsohuwa.
  • 2FA na tushen TOTP za a cire shi don goyon baya FIDO/WebAuthn hanyoyin.
  • Za a fadada amintaccen bugu, tare da ƙarin cancanta Masu samar da CI/CD.

Za a gabatar da waɗannan matakan a hankali, tare da takaddun shaida da tallafin ƙaura don taimakawa masu kulawa su daidaita aiki lafiya yayin da rage raguwa; shawara el tasirin GitHub Copilot en el desarrollo para entender cambios en flujos de trabajo.

Yadda yakin Shai-Hulud ke gudana

Masu yin barazanar yawanci suna farawa ne ta hanyar zurfafa npm ko ayyuka masu alaƙa don yin ɓarna ga mai kula, sannan a yi amfani da bayanan sata don buga sabuntawa mai gudana m post-install jerin.

Da zarar an aiwatar da shi, nauyin kuɗin yana ƙididdige sauye-sauyen yanayi na gida, fayilolin daidaitawa, saitunan npm, da maɓallan girgije; yana kuma cin zarafin GitHub APIs don lissafin ma'ajiyar ma'auni, ƙirƙirar rassa, da sauke a mugayen aiki wanda ke sarrafa tarin sirri da dagewa.

Masu bincike sun lura da yin amfani da kayan aikin bincike na sirri (misali, TruffleHog) don faɗaɗa net ɗin takaddun shaida da aka girbe kafin share alamun. An tsara bayanai zuwa wuraren da masu hari ke sarrafa su kuma, a wasu lokuta, an tura su zuwa sabon wurin taron jama'a mai suna. "Shai-Hulud" karkashin asusun wanda aka azabtar.

Siffar ma'anar tsutsa ita ce maimaita kanta: idan aka sami alamun npm, tana ƙoƙarin buga fakitin da aka canza, yadda ya kamata ta mai da gata na masu kulawa zuwa injin shimfidawa mai ma'ana.

  • Mahimman halaye: post-install zagi, GitHub API mai sarrafa kansa, da alluran aikin ajiyar kayan aiki.
  • Barazana sun haɗa da daidaita lissafin girgije, sata ta IP ta cikakken madubin repo, da motsi na gefe a fadin kungiyoyi.

Girma da tasiri

Ƙungiyoyin bincike sun ƙididdige ɗaruruwan abubuwan da abin ya shafa a cikin ayyuka daban-daban, gami da ɗakunan karatu da aka yi amfani da su sosai miliyoyin zazzagewar mako-mako, ƙara fashewar radius ga masu amfani da ba su ji ba.

Binciken telemetry da binciken da ya faru ya nuna ƙungiyoyi a Arewacin Amurka da Turai suna cikin waɗanda aka fi fallasa ga abubuwan biyan kuɗi masu alaƙa, tare da haɗarin da suka kama daga. cryptojacking da satar bayanai don kawo cikas a cikin gini da tura bututun.

Abubuwan binciken tsaro masu alaƙa da npm don kallo

Manazarta sun kuma nuna alamar fezbox, gunkin npm na ɗan gajeren lokaci wanda ya haɗa a Load ɗin lambar QR dabara don debo da aiwatar da JavaScript don kama bayanan burauzar daga kukis-wani sabon nau'i na gujewa steganographic.

Yayin da yawancin aikace-aikacen ke guje wa adana kalmomin shiga a cikin kukis a yau, hanyar tana nuna yadda masu kai hare-hare ke yin sauri obfucation da bayarwa a cikin fakitin muhallin halittu.

Amintaccen bugu: babban canji a cikin rajista

Amintaccen bugu-wanda ƙungiyoyin tsaro na buɗaɗɗen tushe suka ba da shawarar-yana maye gurbin maɓallan API na dogon lokaci tare da ɗan gajeren lokaci, Bayanan da OIDC ke goyan baya daga tsarin CI, rage alamar yaduwa da haɗarin haɓakawa.

Da farko an gani akan PyPI kuma daga baya RubyGems, crates.io, npm, da NuGet suka karbe shi, wannan hanyar tana kawo fa'idar sirrin sirri da ƙarin garanti game da ta yaya kuma a ina an gina kunshin.

API
Labari mai dangantaka:
Juyin Juya Halin API: Sabbin Ƙirarriya a Haɗin kai, Tsaro, da AI

Abin da masu kula za su iya yi a yanzu

Akwai matakan gaggawa masu kula da ƙungiyoyi da ƙungiyoyi za su iya ɗauka don rage fallasa yayin da matakan tsaro ke buɗewa da haɓaka gabaɗaya. yanayin tsaro na ayyukansu.

  • Ɗauki amintaccen bugu tare da OIDC kuma cire dogon rai Alamar API daga CI/CD.
  • Kunna kuma tilasta FIDO/WebAuthn 2FA don npm, GitHub, da masu samar da CI.
  • Bita kuma kulle izinin bugawa; cire alamun da ba a yi amfani da su ba.
  • Dogaro da binciken bincike (musamman sabuntawar kwanan nan) da fil iri don rage jigilar kayayyaki.
  • Juya npm, GitHub, da alamun girgije; ɗauka duk wani sirri na yanzu akan a na'ura mai haɓakawa za a iya fallasa.
  • Bincika don fayilolin gudanawar aiki (misali, .github/workflows/shai-hulud-workflow.yml) da rassan da ba zato ba tsammani.

Manuniya da ra'ayoyin farauta

Ƙungiyoyi za su iya ƙarfafa ganowa tare da masu nuna alama da tambayoyi, daidaita su zuwa kayan aiki na gida yayin guje wa hayaniya. arya tabbatacce.

  • Misali SHA-256 da aka lura a cikin daji: 46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09
  • Webhook artifact ya ruwaito: hxxps://webhooksite/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7
  • Duba don ƙirƙirar wuraren ajiyar jama'a mai suna "Shai-Hulud" ƙarƙashin asusun masu ba da gudummawa.
  • Duba rubutun bayan shigar tsarin kisa da ɓarkewar dogaro kwatsam.

Samfuran alamun farauta (daidaita don dandamali): saka idanu kan haɗin kai zuwa wuraren yanar gizo; flag ya rubuta shai-hulud-workflow.yml; faɗakarwa akan layin umarni suna kiran "trufflehog" a cikin wakilai; da kuma duba sauye-sauye na kwanan nan waɗanda suka gabatar Farashin CI ba tare da amincewa ba.

Mahimman bayanai na lokaci

Marigayi Agusta ya ga wani ɓarna da aka yi niyya da aka ɗaure da aibi na aiki wanda ya ba da alamar bugawa kuma ya haifar da sakewa; farkon zuwa tsakiyar Satumba ya kawo babban yajin aikin da ya shafi mashahurin npm, sai kuma yakin Shai-Hulud tare da yada tsutsotsi kamar tsutsotsi da girbin asiri mai tsanani.

Gabaɗaya, amsawar haɗin gwiwa daga ma'aikatan rajista da masu siyar da tsaro sun cire nau'ikan da ba su dace ba, sun toshe sanannun IoCs, da haɓaka shirye-shirye don ba da umarni da ƙarfi. auth da provenance don buga npm.

Waɗannan abubuwan da suka faru suna nuna saurin ɗan wasan barazanar zai iya juyar da amana zuwa rarraba don malic code, da kuma dalilin da ya sa yanayin yanayin ke motsawa zuwa FIDO 2FA, takardun shaida na gajeren lokaci, da CI-tabbatar da sakewa don yanke dukan nau'o'in hare-hare.

Shafi posts: