Keli oficialūs SAP npm paketai buvo pažeisti dėl, kaip manoma, TeamPCP tiekimo grandinės atakos, kuria siekiama pavogti kredencialus ir autentifikavimo prieigos raktus iš kūrėjų sistemų.
Saugumo tyrinėtojai praneša, kad kompromisas paveikė keturis paketus, kurių versijos dabar nebenaudojamos NPM:
- @cap-js/sqlite – v2.2.2
- @cap-js/postgres – v2.2.2
- @cap-js/db-service – v2.10.1
- mbt – v1.2.48
Šie paketai palaiko SAP debesų programų programavimo modelį (CAP) ir Cloud MTA, kurie dažniausiai naudojami įmonės kūrime.
Remiantis naujais „Aikido“ ir „Socket“ pranešimais, pažeisti paketai buvo modifikuoti, įtraukiant kenkėjišką „išankstinio diegimo“ scenarijų, kuris automatiškai paleidžiamas įdiegus npm paketą.
Šis scenarijus paleidžia įkroviklį pavadinimu setup.mjs, kuris atsisiunčia „Bun JavaScript“ vykdymo laiką iš „GitHub“ ir naudoja jį labai užtemdytam execution.js naudingajam kroviniui vykdyti.
Naudingoji apkrova yra informacijos vagystė, naudojama įvairiems kredencialams pavogti tiek iš kūrėjų įrenginių, tiek iš CI / CD aplinkos, įskaitant:
- npm ir GitHub autentifikavimo prieigos raktai
- SSH raktai ir kūrėjo kredencialai
- Debesų kredencialai, skirti AWS, Azure ir Google Cloud
- Kubernetes konfigūracija ir paslaptys
- CI/CD dujotiekio paslaptys ir aplinkos kintamieji
Kenkėjiška programa taip pat bando išgauti paslaptis tiesiai iš CI bėgiko atminties, panašiai kaip TeamPCP ištraukė kredencialus ankstesnių tiekimo grandinės atakų metu.
„CI bėgikams naudingoji apkrova vykdo įterptąjį Python scenarijų, kuris skaito /proc/
„Šis paslapčių atminties skaitytuvas yra struktūriškai identiškas tam, kuris buvo užfiksuotas Bitwarden ir Checkmarx incidentuose.”
Surinkus duomenis, jie užšifruojami ir įkeliami į viešąsias „GitHub“ saugyklas aukos paskyroje. Šiose saugyklose yra aprašymas „A Mini Shai-Hulud has Appared“, kuris taip pat panašus į eilutę „Shai-Hulud: The Third Coming“, matytą per „Bitwarden“ tiekimo grandinės ataką.
Šaltinis: Aikido
Kenkėjiška programa taip pat remiasi „GitHub“ atliekamomis paieškomis kaip „mirusio lašo“ mechanizmu, kad būtų galima gauti žetonus ir gauti tolesnę prieigą.
„Kenkėjiška programa ieško šios eilutės „GitHub“ įsipareigojimų ir naudoja atitinkamus patvirtinimo pranešimus kaip žetoną“, – aiškina Aikido.
„Įrašyti pranešimus, atitinkančius OhNoWhatsGoingOnWithGitHub:
Panašiai kaip ir ankstesnėse atakose, įdiegtoje naudingojoje apkrovoje taip pat yra kodas, skirtas savarankiškai plisti į kitus paketus.
Naudodamas pavogtus npm arba GitHub kredencialus, jis bando modifikuoti kitus paketus ir saugyklas, prie kurių gauna prieigą, ir įveda tą patį kenkėjišką kodą, kad toliau plistų.
Tyrėjai susiejo šią ataką su vidutinio pasitikėjimo savimi su TeamPCP grėsmės veikėjais, kurie naudojo panašų kodą ir taktiką ankstesnėse tiekimo grandinės atakose prieš „Trivy“, „Checkmarx“ ir „Bitwarden“.
Nors neaišku, kaip grėsmės veikėjai pakenkė SAP npm paskelbimo procesui, saugos inžinierius Adnanas Khanas praneša, kad NPM prieigos raktas galėjo būti atskleistas per netinkamai sukonfigūruotą CircleCI užduotį.
„BleepingComputer“ susisiekė su SAP, kad sužinotų, kaip buvo pažeisti npm paketai, tačiau paskelbimo metu atsakymo negavo.
AI sujungė keturias nulio dienas į vieną išnaudojimą, kuris aplenkė tiek atvaizdavimo įrenginį, tiek OS smėlio dėžes. Ateina naujų išnaudojimų banga.
Autonominio patvirtinimo aukščiausiojo lygio susitikime (gegužės 12 ir 14 d.) pamatysite, kaip autonominis, daug konteksto patvirtinantis patvirtinimas randa tai, kas yra išnaudojama, įrodo, kad valdikliai galioja, ir uždaro taisymo kilpą.
Pretenduokite į savo vietą
