təhlükəsizlik AWS Bitwarden npm CLI zərərli proqram GitHub Azure SSH CI/CD

22 aprel tarixində npm-də yerləşən Bitwarden-in rəsmi Command-Line Interface (CLI) paketi olan @bitwarden/[email protected] zərərli versiyası ilə əvəzlənmişdir. Bu təhlükəli dəyişiklikdən istifadə edən hücumçular, istifadəçilərin sistemlərinə 93 dəqiqə ərzində zərərli proqram yerləşdirmişdir.

Bitwarden təhlükəni vaxtında aşkar edərək, zərərli paketi npm-dən silmiş və istifadəçilərə zərərli proqramın mövcudluğundan xəbərdar etmişdir. Şirkət, istifadəçilərin şəxsi məlumatlarının və istehsalat sistemlərinin təhlükəsiz olduğunu bildirmişdir.

Zərərli proqram nəyi hədəf alırdı?

Təhlükəsizlik tədqiqatçısı JFrog tərəfindən aparılan analiz nəticəsində məlum olmuşdur ki, zərərli proqram istifadəçilərin GitHub, npm, SSH, AWS, GCP, Azure, GitHub Actions və AI alətlərinin konfiqurasiya fayllarını hədəf almışdır. Bu məlumatlar komandaların infrastrukturlarına giriş imkanı verən vacib məlumatlardır.

Hədəf alınan məlumat növləri və onların əhəmiyyəti

Məlumat növüAdətən yerləşdiyi yerƏhəmiyyəti
GitHub tokenləriİnkişafçı kompüterləri, lokal konfiqurasiyalar, CI mühitləriRepo-lara giriş, workflow-ların sui-istifadəsi, lateral hərəkət
npm tokenləriLokal konfiqurasiyalar, buraxılış mühitləriZərərli paketlərin yerləşdirilməsi, buraxılış axınının dəyişdirilməsi
SSH açarlarıİnkişafçı kompüterləri, build host-larıServerlərə, daxili repo-lara giriş
Shell tarixçəsiLokal kompüterlərKeçmişdə istifadə olunmuş açarlar, daxili host adları, workflow detallarının açılması
AWS məlumatlarıLokal konfiqurasiya faylları, çevrə dəyişənləri, CI məlumatlarıBulud resurslarına, yaddaşa və deploy proseslərinə giriş
GCP məlumatlarıLokal konfiqurasiya faylları, çevrə dəyişənləri, CI məlumatlarıBulud layihələrinə, xidmətlərə və avtomatlaşdırma xəttlərinə giriş
Azure məlumatlarıLokal konfiqurasiya faylları, çevrə dəyişənləri, CI məlumatlarıBulud infrastrukturuna, identitet sistemlərinə və deploy proseslərinə giriş
GitHub Actions məlumatlarıCI/CD mühitləriAvtomatlaşdırma xəttlərinə, deploy proseslərinə və aşağı axın məlumatlara giriş
AI alətlərinin konfiqurasiya fayllarıLayihə kataloqları, lokal inkişaf mühitləriAPI açarlarına, daxili endpoint-lərə, model parametrlərinə giriş

Zərərli proqramın iş prinsipi

JFrog tərəfindən aparılan analiz nəticəsində məlum olmuşdur ki, zərərli paket həm quraşdırma zamanı, həm də iş vaxtı aktivləşdirilmişdir. Paketin preinstall hookbw binary entrypoint hissələri dəyişdirilərək, Bun runtime yüklənmiş və zərərli kod icra edilmişdir.

Bu zərərli proqram, istifadəçilərin şəxsi məlumatlarını yığarkən, eyni zamanda onların CI xəttləri, bulud hesabları və deploy avtomatlaşdırma sistemlərinə daxil olmaq üçün lazım olan məlumatları da toplamağa başlamışdır.

Hücumun mənbəyi

Təhlükəsizlik şirkəti Socket tərəfindən aparılan tədqiqatlar nəticəsində məlum olmuşdur ki, bu hücum Bitwarden-in CI/CD xəttində yerləşən zədələnmiş GitHub Action vasitəsilə həyata keçirilmişdir. Bu hadisə, Checkmarx tədqiqatçıları tərəfindən izlənilən tədarük zəncirinə qarşı təşkil olunmuş kampaniya ilə əlaqəlidir. Bitwarden də bu hadisənin Checkmarx tədarük zənciri kampaniyası ilə əlaqəli olduğunu təsdiqləmişdir.

npm-də təhlükəsizliyə dair məsələlər

npm, belə təhlükəli hallara qarşı mübarizə aparmaq üçün etibarlı nəşr modeli yaratmışdır. Bu modeldə uzunömürlü npm nəşr tokenləri OIDC əsaslı CI/CD autentifikasiya ilə əvəzlənmişdir. Bu dəyişiklik, təşkilatlar üçün təhlükənin qarşısını almaqda vacib rol oynayır.

Mənbə: CryptoSlate
Marvel Rivals-də gizli rəqib olan Kingpin-i necə açmaq və məğlub etmək olar?
← Əvvəlki

Marvel Rivals-də gizli rəqib olan Kingpin-i necə açmaq və məğlub etmək...

 Arvell Reese: Nyu-York Ciyalılarının müdafiəsində unikal rol oynayacaq
Sonrakı →

Arvell Reese: Nyu-York Ciyalılarının müdafiəsində unikal rol oynayacaq