Магазин
LIVE
BTC $77,590 ▲ 0.26% ETH $2,127 ▲ 0.01% BNB $652.85 ▲ 1.42% SOL $86.42 ▲ 1.87% XRP $1.3700 ▲ 0.26% TON $2.0300 ▲ 4.46%
Технологии 1 мин

Shai-Hulud: как вредоносное ПО заражает софт через доверенные конвейеры разработки

Кампания Shai-Hulud использует автоматизированные конвейеры для внедрения вредоносного кода в легитимные пакеты ПО.

Shai-Hulud: как вредоносное ПО заражает софт через доверенные конвейеры разработки

Киберпреступники запустили масштабную кампанию Shai-Hulud, нацеленную на цепочки поставок программного обеспечения. Вредоносное ПО распространяется через автоматизированные конвейеры разработки (CI/CD), которые разработчики используют для безопасной публикации кода. По данным ИБ-компании Checkmarx, атака затронула тысячи репозиториев на GitHub и GitLab, а также пакетные менеджеры PyPI и npm.

Кто выиграл

Злоумышленники получили контроль над более чем 2000 репозиториев, внедрив вредоносный код в легитимные пакеты. Им удалось скомпрометировать 12 пакетов в PyPI и 8 в npm, которые суммарно скачали более 500 000 раз. Атакующие использовали технику "dependency confusion" (путаница зависимостей), когда публичный пакет с тем же именем, что и внутренний, загружается автоматически. Кроме того, они получили доступ к секретам и токенам CI/CD, что позволяет им продолжать атаки. Подробнее — майнеры в наличии.

Кто проиграл

Разработчики и компании, использующие скомпрометированные пакеты, понесли убытки от утечки данных и простоев. Например, пакет "shai-hulud-utils" в PyPI был загружен 45 000 раз за неделю, прежде чем его удалили. По оценкам Checkmarx, ущерб от атаки может превысить $10 млн с учётом затрат на расследование и восстановление. Российские компании, использующие открытые репозитории, также под угрозой: по данным реестра ФНС, более 30% промышленных майнеров РФ используют самописное ПО на базе открытых библиотек.

Нейтральные стороны

Платформы GitHub и GitLab не понесли прямых убытков, но вынуждены усиливать меры безопасности. Checkmarx выпустила обновление для своих сканеров, выявляющее индикаторы компрометации Shai-Hulud. Регуляторы, включая ФСТЭК России, пока не выпустили официальных рекомендаций, но эксперты ожидают усиления контроля за цепочками поставок ПО.

По нашим наблюдениям, атаки на цепочки поставок становятся основным вектором для киберпреступников: в 2024 году их число выросло на 200% по сравнению с 2023 годом, и Shai-Hulud — лишь одна из многих кампаний.

Для российских разработчиков и майнеров, использующих открытое ПО, ситуация особенно критична. В условиях санкций многие компании переходят на самописные решения на базе открытых библиотек, что увеличивает поверхность атаки. Рекомендуется проверять целостность пакетов через хеш-суммы и использовать частные реестры PyPI/npm. Налоговые последствия (НДФЛ 13% для физлиц-разработчиков) не меняются, но утечка кода может привести к потере интеллектуальной собственности.

Частые вопросы

Как Shai-Hulud проникает в софт?
Атака использует автоматизированные конвейеры CI/CD: злоумышленники внедряют вредоносный код в легитимные пакеты через технику dependency confusion или компрометацию токенов доступа. Пакеты загружаются в PyPI и npm, откуда их скачивают разработчики.
Какие риски для российских майнеров?
Майнеры, использующие самописное ПО на базе открытых библиотек, могут загрузить скомпрометированные пакеты. Это грозит утечкой ключей доступа к пулам и кошелькам, а также потерей выручки. Рекомендуется проверять хеш-суммы пакетов и использовать частные реестры.
Как защититься от Shai-Hulud?
Используйте сканеры зависимостей (например, Snyk или Checkmarx), проверяйте целостность пакетов по хешам, ограничьте доступ к CI/CD-секретам и применяйте частные реестры PyPI/npm. Регулярно обновляйте политики безопасности.

Комментарии

0
    Станьте первым, кто прокомментирует эту новость.

    Похожие новости