網(wǎng)絡(luò)安全公司 CrowdStrike 在 2024 年 7 月引起全球級別的 PC 藍(lán)屏死機(jī)事件，現(xiàn)在 CrowdStrike 再次出現(xiàn)安全事件并且潛在危害可能并不比 800 萬臺 PC 藍(lán)屏死機(jī)要差。

網(wǎng)絡(luò)安全研究人員 Brian Krebs 發(fā)現(xiàn)目前約有 25 個(gè) NPM 軟件包受到名為沙蟲 (Shai-Hulud) 惡意軟件的影響，沙蟲是知名科幻小說《沙丘》中戰(zhàn)力非常彪悍的虛構(gòu)生物。

沙蟲惡意軟件的破壞力在于：當(dāng)開發(fā)者從 NPM 安裝已經(jīng)被沙蟲感染的軟件包時(shí)，沙蟲就會在這名開發(fā)者的機(jī)器上搜索各種訪問令牌 (Token)，然后利用這個(gè)令牌感染這名開發(fā)者發(fā)布或具有維護(hù)權(quán)限的其他軟件包。

研究人員將此次的沙蟲惡意軟件描述為是能夠自我復(fù)制的蠕蟲，通過自我復(fù)制可以在短時(shí)間內(nèi)感染海量的 NPM 軟件包，目前已知至少有 187 個(gè) NPM 軟件包已經(jīng)被感染。

其中 CrowdStrike 提供或維護(hù)的 25 個(gè)流行的 NPM 軟件包也被感染，這意味著 CrowdStrike 工程師的設(shè)備也同樣被感染，收到通知后 CrowdStrike 火速刪除被感染的軟件包避免蠕蟲病毒繼續(xù)傳播。

值得注意的是 NPM 軟件包被感染只是我們能夠看到的現(xiàn)象之一，因?yàn)樯诚x惡意軟件還會搜尋其他憑據(jù)例如 AWS、Azure、GCP、GitHub、npm，甚至還會寫入 GitHub Actions 工作流文件，在開發(fā)者運(yùn)行 CI/CD 期間泄露機(jī)密信息，確保在初始感染后還能繼續(xù)長期訪問。

目前我們并不清楚 CrowdStrike 或其他開發(fā)者的 AWS 之類的憑據(jù)是否泄露，如果也被病毒竊取則可能會泄露海量機(jī)密數(shù)據(jù)，只不過 CrowdStrike 或其他公司暫未透露詳情。

同樣可怕的是沙蟲病毒還可以繼續(xù)潛伏，只要有一名開發(fā)者目前仍然運(yùn)行包含病毒的軟件包，那么就有可能通過這名開發(fā)者繼續(xù)傳播病毒并重新引起大范圍感染事件。

近期使用 NPM 存儲庫安裝軟件包的開發(fā)者應(yīng)當(dāng)仔細(xì)檢查，這里有目前已知受感染的軟件包清單：https://www.koi.security/blog/shai-hulud-npm-supply-chain-attack-crowdstrike-tinycolor

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/