Логотип Xygeni Белый
Попробовать бесплатно
Забронировать демонстрацию
Угрозы в открытом исходном коде — атака червя

Новые угрозы в открытом исходном коде: черви, вредоносное ПО, управляемое искусственным интеллектом, и злоупотребление доверием.

Содержание

Обязательно к прочтению посты

TL, д-р

Ситуация с угрозами в цепочках поставок, связанными с открытым исходным кодом, коренным образом изменилась. Три взаимосвязанные тенденции переопределяют понятие риска:

Прибыли самовоспроизводящиеся черви.

  • Шай-Хулуд (Сентябрь 2025 г.): Первая атака червя npm — украдены учетные данные через postinstall hooksЗатем система автономно переиздала себя примерно в 700 версиях пакета, используя скомпрометированные токены сопровождающих.
  • GlassWorm (Октябрь 2025 г.): Вредоносное ПО для расширения VS Code, использующее невидимые полезные нагрузки, закодированные в Unicode, и неуничтожимую систему управления и контроля на основе блокчейна (Solana). Более 35 2 установок, полные возможности RAT (Remote Active Directory), нацеленные на криптокошельки.
  • Шай-Хулуд 2.0 (Ноябрь 2025 г.): Переход с npm на Maven Central через автоматизированные инструменты зеркалирования, а также использование GitHub Discussions в качестве инструмента управления и контроля и резервный вариант с деструктивным удалением изменений.

Искусственный интеллект теперь не просто инструмент, а оператор.

Задокументированная кампания кибершпионажа достигла автономного выполнения с использованием Claude в качестве механизма координации — разведка, эксплойты, горизонтальное перемещение и эксфильтрация с минимальным участием человека. Препятствие для сложных атак рухнуло: от «экспертной группы» до «человека, понимающего подсказки».

Масштабное злоупотребление инфраструктурой

Кампания IndonesianFoods завалила npm примерно 44 000 спам-пакетами, использующими системы вознаграждения на основе блокчейна (протокол TEA), и продолжалась почти два года, прежде чем была проведена очистка. В сценариях, используемых командой «красных», также злоупотребляют инфраструктурой с открытым исходным кодом.

Резюме

Каждая скомпрометированная машина разработчика теперь является потенциальной точкой распространения червя. Кража учетных данных обеспечивает автономное распространение. Искусственный интеллект может организовывать атаки со скоростью работы машины. Традиционные методы обнаружения и удаления не справляются с неизменяемыми командно-контрольными системами и распространением через межрегистровые сети. Защита должна исходить из предположения о компрометации и сосредоточиться на скорости сдерживания.

Новые угрозы для экосистемы открытого исходного кода: черви, вредоносное ПО, созданное с помощью ИИ, и масштабные злоупотребления доверием.

Экосистема открытого исходного кода сталкивается с кардинальными изменениями в угрозах цепочкам поставок. Традиционные вредоносные программы не распространялись самостоятельно, искусственный интеллект не был доступен для злоумышленников, а распространение атак было ограничено.

В последние месяцы мы стали свидетелями сближения трех категорий угроз, которые, хотя и вызывают беспокойство по отдельности, представляют собой целую совокупность угроз. фундаментальный сдвиг в контексте рисков разработки программного обеспечения, рассматриваемых в совокупности:

  • Самовоспроизводящиеся черви в экосистемах, состоящих из упакованных предметов.Вредоносные пакеты, распространяющиеся автономно посредством кражи учетных данных и автоматической перепубликации. Это превращает каждую скомпрометированную машину разработчика в новый вектор заражения.
  • Генерация и эксплуатация вредоносных программ с помощью ИИ.Злоумышленники используют большие языковые модели для написания вредоносных программ, обнаружения уязвимостей и организации атак со скоростью, сравнимой со скоростью работы машин.
  • Масштабная эксплуатация доверияНекоторые злоумышленники систематически злоупотребляют вознаграждениями за вклад в разработку открытого программного обеспечения, инфраструктуру репозиториев и инструменты для разработчиков, создавая вспышки с тысячами публикаций спам-пакетов, что негативно сказывается на реестрах.

Ключевые методы, позволяющие осуществлять сложные атаки на цепочки поставок программного обеспечения, больше не являются теоретическими. Они активно применяются, документированы и становятся все более доступными для менее искушенных злоумышленников. Препятствие для проведения атак на цепочки поставок рухнуло — то, что раньше требовало команд опытных злоумышленников, теперь может быть выполнено агентами искусственного интеллекта с минимальным участием человека.

В этой статье рассматриваются недавние инциденты, непосредственно связанные со вредоносными пакетами с открытым исходным кодом или злоупотреблением инфраструктурой ИИ и открытого программного обеспечения, анализируются новые методы, которые позволили их осуществить, и исследуются новые возможности, которые могут определить следующее поколение угроз. В последнем разделе мы рассмотрим, что можно сделать для ограничения риска.

Угрозы в открытом исходном коде — атака червя

ПРИМЕЧАНИЕ: Плакат, созданный с помощью ИИ, демонстрирует серьезные недостатки в понимании происходящего. ИИ далек от совершенства в некоторых областях применения.

Sha1-Hulud: Первая самовоспроизводящаяся атака червя в Npm

Обнаружено 14 сентября 2025 года. Шай-Хулуд Это первый задокументированный случай самораспространяющегося червя в экосистеме npm. Название было выбрано злоумышленниками, которые, судя по всему, являются поклонниками научной фантастики! Атака началась с компрометации учетных данных разработчиков — вероятно, полученных в результате фишинговых кампаний с использованием поддельных учетных данных npm. login Подсказки или обходы многофакторной аутентификации. Оказавшись внутри, червь осуществлял многоэтапную атаку, которая превращала кражу учетных данных в автономное распространение. Атака была достаточно серьезной, чтобы заслужить предупреждение. CISПредупреждение.

Техническая архитектура:

Вредоносная программа работает через сильно минифицированный JavaScript-код, упакованный с помощью Webpack.bundle.js), который выполняется через обработчик postinstall…

Сбор учетных данных:

При выполнении полезная нагрузка осуществляет всесторонний поиск секретных данных:

  • Дампы process.env и сканирует файловую систему на наличие секретов с высокой энтропией.
  • Использует TruffleHog для систематического сканирования учетных данных.
  • Запросы к конечным точкам метаданных облака (169.254.169.254, metadata.google.internal)
  • Нацеливается на токены npm в .npmrc, GitHub PATs, и CI/CD секреты

Инфраструктура для отвода утечек:

Атака червя использует несколько стратегий эксфильтрации:

  • Злоупотребление GitHub ActionsРабочие процессы, содержащие ${{ toJSON(secrets) }} которые сериализуют все секреты репозитория.

Автономное распространение:

Механизм самовоспроизведения червя работает на основе следующего алгоритма (в псевдокоде):

function propagate(token, owner) {
    userPackages = npmApi.listPackages(owner, token);
    for (pkg in userPackages) {
        tgz = npmApi.fetchTarball(pkg, token);
        modified = injectBundleAndPostinstall(tgz);
        npmApi.publish(modified, token);
    }
}

Используя любой украденный токен npm, червь перечисляет все пакеты, принадлежащие скомпрометированному сопровождающему проекта, и внедряет их. bundle.js с помощью postinstall hook и осуществляет повторную публикацию. Такое автономное поведение привело к тому, что количество зараженных пакетов подскочило с десятков до сотен за несколько часов.

Показатели воздействия:

  • Первоначальное обнаружение: 14 сентября 2025 г. Даниэль Перейра «Нулевой пациент», по-видимому, rxnt-authentication:0.0.3.
  • Радиус поражения взрывной волной: Опубликовано около 700 вредоносных версий пакетов, наиболее известные из которых еженедельно скачиваются миллионы раз. Распространение ограничено пакетами npm и репозиториями GitHub.
  • Инфраструктура: С2 в 217.69.3.218эксфильтрация в 140.82.52.31:80/wall
  • Упорство: Рабочие процессы GitHub на ветках с определенными названиями shai-hulud
  • Наблюдаемые показатели: Репо-контракты переводятся в публичный доступ с помощью -migration суффикс

Shai-Hulud — это вредоносный червь, предназначенный для сбора секретной информации. Он не пытался украсть деньги или уничтожить инфраструктуру. Украденные секреты и открытые хранилища могут быть использованы для целенаправленных атак, поэтому ущерб от украденных учетных данных может проявиться позже. Реальная цена заключается в восстановлении, ротации учетных данных и риске вторичных атак.

Одним из положительных эффектов было вынуждая GitHub/NPM принять немедленные меры. : отказ от устаревших классических токенов и других слабых учетных данных для публикации, а также стремление к «райскому саду OIDC». OpenSSFАвтора Доверенное издательство .

Но продолжайте читать! Червь снова вылез из песков Арракиса.

Sha1-Hulud 2.0: Арракисский червь наносит ответный удар

Через два месяца после первой кампании «Шай-Хулуд» злоумышленники вернулись с «Вторым пришествием» — значительно более агрессивной волной атак, которая учла слабые места первой атаки. Кампания самоидентифицировалась через хранилища, помеченные как «Ша1-Хулуд: Второе пришествие».

Давайте рассмотрим ключевые отличия от первой волны. preinstall Заменил исходный вектор выполнения postinstall хуком. Согласно Пантера, @asyncapi/avro-schema-parser@3.0.25 был «нулевым пациентом» второй волны, эксплуатируя уязвимую группу населения. pull_request_target Триггер рабочего процесса. (Если вы знаете друга, который этим пользуется, пожалуйста, прочтите.) Почему функция pull_request_target так опасна? ).

Распространение данных между реестрами:

Червь распространился из npm в Maven Central через автоматическое зеркалирование. mvnpm инструмент, который преобразует npm-пакеты в артефакты Maven без проверки безопасности, автоматически переиздает скомпрометированные npm-пакеты, такие как... posthog-node@4.18.1 as org.mvnpm:posthog-node:4.18.1.

Это был первый известный межсистемный червь: компрометация npm, затронувшая экосистему Java без прямого взаимодействия. Maven Central удалил артефакты 25 ноября 2025 года, но период уязвимости всё ещё влиял на рабочие нагрузки Java/JVM. enterprise системы построения.

Время выполнения Bun Runtime для уклонения:

Злоумышленники развернули preinstall: node setup_bun.js крючок, который установил Право среда выполнения для обхода мониторинга, специфичного для Node.js. Bun обеспечил более быстрое выполнение обфусцированной полезной нагрузки объемом более 480 000 строк (bun_environment.js) и обошла традиционные средства мониторинга Node.js.

GitHub Actions как командная инфраструктура:

Червь развернул скрытые саморазмещаемые средства запуска GitHub Actions в $HOME/.dev-env/ На платформах Windows, macOS и Linux. Более того, она создала discussion.yaml Рабочие процессы, которые отслеживали события в GitHub Discussions и выполняли тексты сообщений в обсуждениях в качестве команд оболочки, фактически превращая GitHub Discussions в невидимый канал управления и контроля.

Возможность разрушения стеклоочистителей:

В отличие от первой волны, которая была сосредоточена на сборе учетных данных, Shai-Hulud 2.0 представила разрушительный стеклоочиститель Этот «аварийный выключатель» срабатывал, когда для распространения данных не было доступных действительных учетных данных. Он гарантировал нанесение ущерба даже в случае сбоя репликации, сигнализируя о переходе от операций, ориентированных исключительно на шпионаж, к потенциально разрушительным кампаниям.

Несмотря на использование скрытых методов (среда выполнения Bun, обфускация), кампания носила чрезвычайно шумный характер — были переизданы сотни пакетов, созданы многочисленные общедоступные репозитории, загружены дампы учетных данных в больших объемах и установлены долгоживущие саморазмещаемые серверы. Этот агрессивный темп резко контрастирует с традиционными атаками на цепочки поставок, которые полагаются на скрытность. Это говорит об уверенности в быстром воздействии или о преднамеренной «тактике подавления» для максимизации ущерба в короткий промежуток времени.

GlassWorm: Невидимый код и C2-управление на основе блокчейна

17 октября 2025 года расширение VS Code под названием GlassWorm представило две беспрецедентные технологии в сфере угроз для цепочки поставок: невидимый вредоносный код, использующий технологию скрытности Unicode, и инфраструктуру управления и контроля на основе блокчейна.

Техника скрытого использования Unicode:

Главное нововведение GlassWorm заключается в использовании селекторов вариантов Unicode — специальных символов, которые не дают визуального результата, но остаются исполняемыми в JavaScript. Это создает вредоносный код, который отображается как пустые строки в редакторах кода, в сравнениях GitHub и подсветке синтаксиса IDE. Этот метод принципиально нарушает процесс проверки кода человеком, скрывая исполняемую логику внутри визуально пустых областей.

Атака была направлена ​​на расширения VS Code в магазине OpenVSX. Анализ расширения CodeJoy (v1.8.3) выявил большие невидимые фрагменты, содержащие исполняемый JavaScript, закодированный непечатаемыми символами Unicode. Для разработчика, просматривающего файл, его содержимое выглядит нормальным, с пустыми строками. Для среды выполнения JavaScript это полноценная вредоносная программа.

Архитектура управления и контроля на основе блокчейна:

GlassWorm реализует неуязвимый механизм управления и контроля, использующий блокчейн Solana. Вредоносная программа сканирует транзакции с жестко закодированного адреса кошелька; поля примечаний транзакций содержат объекты JSON с URL-адресами, закодированными в base64.

Такая архитектура дает существенные преимущества:

  • неизменностьТранзакции в блокчейне нельзя изменить или удалить.
  • АнонимностьКриптовалютные кошельки являются псевдонимными и их трудно отследить.
  • Цензурное сопротивлениеНет хостинг-провайдера, на которого можно было бы оказывать давление, нет инфраструктуры, которую можно было бы захватить.
  • Легитимный трафикСоединения с узлами Solana RPC выглядят неотличимо от обычной активности в блокчейне.
  • Динамические обновленияНовые URL-адреса полезной нагрузки можно отправлять по цене менее 0.01 доллара за транзакцию.

Даже если защитники заблокируют сервер декодированной полезной нагрузки (217.69.3.218Злоумышленники могут просто опубликовать новую транзакцию, указывающую на альтернативный URL-адрес. Каждая зараженная система автоматически получит обновленное местоположение.

Резервный сервер управления (C2): Календарь Google

Для обеспечения отказоустойчивости GlassWorm использует событие в Google Календаре в качестве дополнительного канала управления и контроля. Заголовок события содержит закодированный в base64 URL-адрес полезной нагрузки. 

https://calendar.app.google/M2ZCvM8ULL56PD1d6
Event title: aHR0cDovLzIxNy42OS4zLjIxOC9nZXRfem9tYmlfcGF5bG9hZC9xUUQlMkZKb2kzV0NXU2s4Z2dHSGlUdg==
Decodes to: http://217.69.3.218/get_zombi_payload/qQD%2FJoi3WCWSk8ggGHiTdg%3D%3D

Это предоставляет легитимную услугу, которая обходит средства контроля безопасности и может быть обновлена ​​простым редактированием события в календаре.

Доставка полезной нагрузки:

Серверы управления и контроля (C2) доставляют зашифрованные данные с использованием алгоритма AES-256-CBC. Ключи расшифровки генерируются для каждого запроса и передаются через пользовательские HTTP-заголовки, что гарантирует невозможность расшифровки перехваченных данных без повторного запроса.

ZOMBI: Возможности RAT полного спектра

Финальная полезная нагрузка (ZOMBI) превращает зараженные рабочие станции разработчиков в криминальную инфраструктуру:

  • SOCKS-прокси-сервер: Развертывает прокси-серверы для маршрутизации трафика злоумышленников через сети жертв, обеспечивая внутренний доступ и анонимизацию.
  • WebRTC P2PУстанавливает каналы управления типа «точка-точка», которые обходят брандмауэры за счет обхода NAT.
  • BitTorrent DHTИспользует распределенные хэш-таблицы для децентрализованного распределения команд, которое невозможно отключить.
  • Скрытый VNC (HVNC)Обеспечивает невидимый удаленный доступ к рабочему столу, работающему в виртуальных рабочих столах, которые не отображаются на экране или в диспетчере задач.

Таргетинг на криптовалютный кошелек:

ZOMBI активно ищет 49 различных расширений для криптовалютных кошельков, включая MetaMask, Phantom и Coinbase Wallet. В сочетании с невидимым удаленным доступом это позволяет напрямую красть средства с компьютеров разработчиков.

Сбор и распространение учетных данных:

Подобно Shai-Hulud, GlassWorm собирает токены npm, учетные данные GitHub и токены доступа OpenVSX. Эти учетные данные позволяют автономно распространять вредоносный код на дополнительные пакеты и расширения, создавая поведение, подобное распространению червя.

Показатели воздействия:

  • Первоначальное обнаружение: Октябрь 17, 2025
  • Всего установокБолее 35 800 на платформах OpenVSX и VS Code (возможно, завышено с помощью ботов).
  • Компрометированные расширения: 16 подтверждено (15 OpenVSX, 1 Microsoft Marketplace)
  • Инфраструктура: Основной C2 в 217.69.3.218эксфильтрация в 140.82.52.31:80/wall
  • Блок-кошелек: 28PKnu7RzizxBzFPoLp69HLXp9bJL3JFtT2s5QzHsEA2 (Солана)
  • Текущее состояниеАктивная деятельность, инфраструктура функционирует на момент написания данного текста.

Кибершпионаж, организованный искусственным интеллектом

Мы все учимся работать с инструментами искусственного интеллекта. Глядя на методы, использованные в недавних атаках, можно задаться вопросом: Используют ли злоумышленники искусственный интеллект для создания вредоносного ПО? Безусловно. Но они могут еще больше расширить масштабы атак, используя ИИ для координации действий. Далее следует кампания кибершпионажа — но представьте себе те же методы, примененные к автоматизированным атакам, направленным на объекты с открытым исходным кодом.

В сентябре 2025 года, Антропический обнаружены и нарушены Первая задокументированная кибератака, осуществленная в значительной степени без участия человека. В ходе кампании было достигнуто 80–90% автономного выполнения. использование Claude Code в качестве механизма оркестровкиВ рамках этой стратегии агенты ИИ выполняют разведку, эксплуатацию уязвимостей, горизонтальное перемещение и утечку данных. Это знаменует собой переход от атак с использованием ИИ к кибер-операциям, управляемым ИИ.

Злоумышленники из группы GTG-1002 (китайская государственная группировка) атаковали около 30 организаций в технологическом, финансовом и государственном секторах. Они разработали автономную систему, превратившую Claude Code из помощника по программированию в систему кибербезопасности.

Искусственный интеллект как система оркестровки

Вместо использования ИИ в качестве советника, в GTG-1002 в качестве советника был использован Клод. основной операторЭта система разбивала многоэтапные атаки на изолированные задачи, каждая из которых казалась безобидной сама по себе. С помощью тщательно разработанных подсказок и созданных образов злоумышленников они побуждали Клода к выполнению вредоносных действий, не понимая их злонамеренного контекста.

Искусственный интеллект выполнял технические этапы, в то время как система управления отслеживала состояние кампании, управляла переходами между этапами и агрегировала результаты за несколько дней. Участие человека ограничивалось общим контролем: инициализация, выбор целей, утверждение эскалаций и проверка утечки информации.

Стандартные инструменты — сетевые сканеры, эксплойты для баз данных — разрабатывались с использованием специально созданных решений. MCP-серверы.

Этот подход автоматизирует операции со скоростью, недостижимой для человека. Клод даже проанализировал украденные данные, чтобы расставить приоритеты для ценной информации, сохраняя при этом постоянный контекст между сессиями, в то время как операторы-люди возвращались позже, чтобы проверить ход выполнения.

Социальная инженерия ИИ: обход средств защиты.

Успех кампании зависел от того, насколько успешно Клоду удалось выполнить задачи по кибератакам, несмотря на прохождение им инструктажа по технике безопасности. Использованная методика: ролевая игра обманаЗлоумышленники выдавали себя за аналитиков по кибербезопасности, проводящих законные расследования. В сочетании с изоляцией задач этого оказалось достаточно, чтобы взломать средства контроля безопасности ИИ.

Галлюцинации — это здорово!

Клод часто придумывал галлюцинации — сообщал об успешных, но неудачных попытках взлома, выдумывал учетные данные, фальсифицировал открытия. Пока это ограничивает полностью автономную работу, но по мере совершенствования моделей эти недостатки будут уменьшаться. А до тех пор распространенный недостаток ИИ, как ни парадоксально, становится нашим лучшим другом 🙃.

Обнаружение и реагирование:

Компания Anthropic обнаружила кампанию благодаря аномальным моделям использования, указывающим на систематическое вторжение. Они заблокировали связанные учетные записи, уведомили пострадавшие организации, скоординировали действия с властями и интегрировали модели атак в более широкие меры безопасности.

Последствия для цепочки поставок:

Все продемонстрированные здесь методы напрямую применимы к экосистемам пакетов. Искусственный интеллект сможет автономно обнаруживать уязвимых разработчиков, создавать вредоносные пакеты и организовывать атаки на уровне всего реестра со скоростью, сравнимой со скоростью работы машины. Преодолеть барьер стало проще: от «команды экспертов-киберпреступников» до «оператора, понимающего подсказки ИИ».

Нужен реальный пример использования ИИ для кибератак? Читайте дальше. ShadowRay 2.0Злоумышленники используют ИИ против самого себя в рамках глобальной кампании. где злоумышленники использовали функции оркестровки Ray («Kubernetes в мире ИИ») для запуска глобальной сети ботнетов для криптоджекинга, которая автономно распространялась по открытым кластерам Ray.

Другой пример: Сингулярность атаковать используя тот же самый pull_request_target Проблема, упомянутая ранее. Она обнаруживает локально установленные инструменты командной строки ИИ (Claude, Gemini, Q с флагами обхода) и использует их для разведки. telemetry.js полезная нагрузка, В числе заданий были следующие вещи как это:

Угрозы в открытом исходном коде — атака червя

Злоупотребление инфраструктурой: масштабные кампании по рассылке спама в виде пакетов.

Помимо пакетов, распространяющих вредоносное ПО, экосистема открытого исходного кода сталкивается со злоупотреблениями инфраструктурой в результате спам-кампаний, которые заваливают реестры тысячами пакетов. Применение DevOps в киберпреступности широко распространено: злоумышленники регулярно используют SCMСистемы и реестры для OSINT, распространения этапов вредоносного ПО, извлечения секретов и поддержания управления и контроля. Но эти платформы также могут быть используется в незлонамеренных целяхХотя такие кампании традиционно не носят вредоносного характера, они потребляют ресурсы реестра, загрязняют результаты поиска и подрывают доверие.

Два показательных примера демонстрируют эту тенденцию: Индонезийская кухня (использование системы вознаграждений для участников) и Кампания эльфов (Несанкционированное тестирование "красной команды").

IndonesianFoods: Использование протокола TEA

Основной мотивацией было финансовое мошенничество посредством использование протокола TEA , система на основе блокчейна, предназначенная для вознаграждения разработчиков открытого программного обеспечения.

Злоумышленники опубликовали тысячи взаимосвязанных пакетов, содержащих tea.yaml Файлы, ссылающиеся на их Ethereum-кошельки, формировали замкнутые сети зависимостей для завышения показателей вклада. Автоматизированные скрипты публиковали около 12 пакетов в минуту со случайно сгенерированными индонезийскими названиями и терминами, связанными с едой. В файле README одного из пакетов даже хвастались доходами от токенов TEA, что подтверждало финансовый мотив.

Кампания охватила около 44 000 пакетов — более 1% от общего объема npm — и продолжалась почти два года. Циклические зависимости означали, что установка одного пакета могла привести к появлению сотен спам-пакетов. Результаты поиска ухудшились, доверие к метрикам пакетов подорвалось, а пропускная способность и объем хранилища реестра были значительно увеличены.

Хотя факты злоупотребления протоколом TEA были задокументированы в апреле 2024 года, систематическое удаление данных произошло только в ноябре 2025 года, что выявило критические пробелы в обнаружении злоупотреблений в реестре. Этот эпизод подорвал доверие к моделям финансирования, основанным на блокчейне, и показал, насколько легко можно обмануть системы вознаграждения.

Кампания Эльфов: Автоматизированное тестирование инфраструктуры

кампания эльфов В декабре 2025 года акцент был сделан на злоупотреблении инфраструктурой, а не на злонамеренных намерениях. В описаниях пакетов упоминались «задача захвата флага» и «тестирование» (включая текст на французском языке: «Package généré automatiquement toutes les 2 minutes»), что указывает на их происхождение из исследований в области безопасности или упражнений CTF.cisх годов.

Упаковка соответствовала установленным стандартам. elf-stats-* Названия, связанные с сезонными темами. Некоторые содержали тривиальные обратные оболочки (простые однострочные команды bash), настолько примитивные, что, казалось, были разработаны только для проверки обнаружения, а не для реальной эксплуатации.

Темп работы — один пакет каждые 2 минуты на нескольких учетных записях — проверил возможности npm по ограничению скорости и обнаружению злоупотреблений. Кампания показала, что автоматическая рассылка спама может продолжаться часами или днями до вмешательства, потребляя ресурсы хранения, пропускной способности и модерации.

Самое важное, это дало понять другим злоумышленникам, что автоматизированные атаки с использованием флудинга вполне осуществимы, потенциально вдохновляя на будущие кампании по злоупотреблению.

Новые тактики, методы и процедуры (ТТП)

ТТП Техника Влияние обнаружение
Автономное распространение посредством повторного использования учетных данных После сбора токенов npm, учетных данных GitHub или ключей API реестра вредоносное ПО программно перечисляет все пакеты, принадлежащие скомпрометированному сопровождающему проекта, и внедряет вредоносные полезные нагрузки в новые версии. Один скомпрометированный токен может заразить десятки или сотни пакетов в течение нескольких часов. Каждая новая жертва становится точкой распространения инфекции. Отслеживайте внезапные всплески публикации пакетов от отдельных сопровождающих, особенно если они сопровождаются подозрительными действиями после установки. hooks или большие двоичные сложения.
Многоуровневая инфраструктура управления и контроля с неизменностью данных в блокчейне. Основной C2 использует транзакции в блокчейне (Solana, Ethereum), где поля memo содержат зашифрованные или закодированные URL-адреса полезной нагрузки. Вторичный C2 использует легитимные сервисы (Google Calendar, Pastebin, GitHub Gists) в качестве резервных каналов. Традиционные методы удаления контента неэффективны — транзакции в блокчейне невозможно удалить, а законное злоупотребление сервисом трудно отличить от обычного использования. Отслеживайте необычные RPC-запросы к блокчейну с компьютеров разработчиков, особенно к конкретным адресам кошельков. Отслеживайте подключения к календарным сервисам или сайтам, вставляемым из сред сборки.
Внедрение невидимого кода с помощью Unicode Stealth Вредоносный JavaScript кодируется с использованием селекторов вариантов Unicode (U+FE00 — U+FE0F) и символов нулевой ширины, которые не отображаются в редакторах, но остаются допустимым исполняемым кодом. Проверка кода становится неэффективной. Разработчики, изучающие исходные файлы, видят пустые строки, в то время как интерпретаторы JavaScript выполняют скрытое вредоносное ПО. Просканируйте исходные файлы на наличие непечатаемых символов Юникода, особенно селекторов вариантов и соединителей нулевой ширины. Внедрите автоматические проверки, которые декодируют и анализируют фактическое байтовое содержимое исходных файлов, а не их визуализированное представление.
Действия GitHub как инфраструктура эксфильтрации Разверните рабочие процессы, содержащие ${{ toJSON(secrets) }} Выражения, которые сериализуют все секреты репозитория и отправляют их методом POST на контролируемые злоумышленниками конечные точки. Рабочий процесс выполняется на инфраструктуре GitHub, выглядя как легитимный. CI/CD деятельность. Полная кража секретов из репозитория без срабатывания традиционных систем обнаружения утечки данных, поскольку трафик исходит из доверенных диапазонов IP-адресов GitHub. Сканируйте файлы рабочих процессов для toJSON(secrets) отслеживайте рабочие процессы, выполняющие внешние HTTP-запросы с большими телами POST-запросов. Выдавайте оповещения о добавлении рабочих процессов в репозитории без соответствующих запросов на слияние или commit историю.
Гибридное развертывание RAT в средах разработки Внедрите полноценные возможности RAT (SOCKS-прокси, VNC, WebRTC P2P), специально разработанные для работы на рабочих станциях разработчиков. Целевая аудитория — учетные данные разработчиков, доступ к исходному коду и позиционирование во внутренней сети, а не традиционные пользовательские данные. Взломанные разработчики предоставляют прямой доступ к репозиториям исходного кода. CI/CD pipelines, облачная инфраструктура и внутренние корпоративные сети. Отслеживайте неожиданные развертывания прокси-серверов, процессы VNC-серверов, соединения WebRTC с машин разработчиков и участие сети BitTorrent DHT. Внедрите строгую сегментацию сети и фильтрацию исходящего трафика.
Инфекция цепочки зависимостей Вредоносные пакеты объявляют другие пакеты, контролируемые злоумышленником, своими зависимостями. Установка одного пакета запускает автоматическую установку всей цепочки. Одна вредоносная зависимость может внедрить десятки пакетов, контролируемых злоумышленником. Для очистки необходимо выявить и удалить всю цепочку заражения. Проанализируйте графы зависимостей на предмет необычных закономерностей — циклических зависимостей, случайно названных пакетов-соседей или внезапного добавления зависимостей. Внедрите установку только с помощью файла блокировки, чтобы предотвратить автоматическое разрешение зависимостей.

Защитная поза

Наступила эра самораспространяющихся червей в цепочках поставок. Защита требует автоматизации, бдительности и архитектурных средств контроля, которые предполагают возможность компрометации, а не надежду на обнаружение. Каждая установка пакета — это потенциальный вектор заражения. Каждые учетные данные — это механизм распространения. Вопрос уже не в том, произойдут ли атаки, а в том, как быстро их можно обнаружить и локализовать, когда они произойдут.

Для защиты от вредоносных программ, подобных червям, необходимо перейти от реактивного сканирования к проактивной профилактике и непрерывному мониторингу:

Pipeline Управление:

  • Обеспечить установку только файлов блокировки (npm ci, yarn install --frozen-lockfile) чтобы предотвратить автоматическое обновление зависимостей и обеспечить строгое закрепление версий.
  • Внедрить предварительное сканирование пакетов и полных деревьев зависимостей, блокирующее вредоносные пакеты до их выполнения.
  • Блокируйте пакеты с подозрительными характеристиками: слишком большой размер, обфускация, неожиданные действия до/после установки. hooks.
  • Для добавления и обновления зависимостей требуется проверка кода.

Управление учетными данными:

  • Минимизируйте область действия токенов — по возможности публикуемые токены должны быть нацелены только на определенные пакеты.
  • Внедрить кратковременные токены с автоматической ротацией.
  • Никогда не сохраняйте токены в исходном коде или переменных окружения.
  • Используйте выделенные учетные записи службы CI с минимальными привилегиями.

Обнаружение и мониторинг:

  • Отслеживайте закономерности публикаций и оповещайте о необычных всплесках активности отдельных разработчиков.
  • Отслеживайте рабочие процессы GitHub Actions на предмет сериализации секретных данных, например: toJSON(secrets).
  • Проверяйте добавленные в рабочий процесс элементы на наличие внешних HTTP-запросов.
  • Выявлять новые общедоступные репозитории с необычными названиями или закодированным содержимым.
  • Отслеживайте рабочие станции разработчиков на предмет появления неожиданных прокси-серверов. CI/CD исполнители, процессы VNC или запросы RPC блокчейна.

Реакция на инцидент:

  • Любое выполнение подозрительных установок следует пресекать. hooks в качестве полного компромисса.
  • Предположим, что все токены на скомпрометированных хостах украдены — немедленно замените их.
  • Восстановить затронутые CI/CD Бегуны из чистых изображений.
  • Проведите проверку всех пакетов, принадлежащих скомпрометированным учетным записям, на наличие вредоносных версий.
  • Проверьте наличие сохранения данных в рабочих процессах GitHub и настройках репозитория.

Производители ИИ часто заявляют, что любой инструмент можно использовать как во благо, так и во зло. Системы ИИ не могут полностью предотвратить двойное использование, но они могут создавать препятствия и улучшать прозрачность криминалистических исследований. Настоящий вопрос проектирования заключается не в том, «можно ли злоупотреблять ИИ?», а в том, «сколько препятствий мы можем создать, не нанося вреда законной пользе?». Один факт остается неизменным: Взлом современных систем искусственного интеллекта слишком прост.Анализ вредоносных запросов в недавних атаках показывает, что недетерминизм LLM распространяется и на них. guardrails.

Появляется несколько идей для повышения безопасности ИИ: надежная аутентификация источника, изоляция достоверного контента и управление внешними системами с учетом политик (при этом на рынок выходят MCP и аналогичные протоколы). Только время покажет, станет ли ИИ следующим оружием для крупномасштабных атак на инфраструктуру с открытым исходным кодом.

Читать

Об авторе

Написано Луис Родригес Соучредитель и технический директор компании Ксигени Секьюрити.

Луис — физиотерапевтcisт, математик, и CISСпециалист с более чем 20-летним опытом работы в области безопасности программного обеспечения. Он руководил крупными инициативами в сфере безопасности и вносил в них значительный вклад. SAST, SCAа также передовые технологии анализа кода. Сегодня он специализируется на software supply chain securityсочетая глубокие исследования с практическим инженерным опытом, мы помогаем командам защищать современный DevSecOps. pipelineот возникающих угроз.

sca-инструменты-программное обеспечение-композиция-анализ-инструменты
Расставьте приоритеты, устраните и защитите риски, связанные с программным обеспечением
7-дневная бесплатная пробная версия
Кредитная карта не требуется.
Попробуйте бесплатно

Защитите свою разработку и доставку программного обеспечения

с пакетом продуктов Xygeni

Попробовать бесплатно
Ознакомьтесь с продукцией
Логотип Xygeni Белый

© 2026 Ксигени. Все права защищены

Linkedin в X-твиттер Youtube

Продукция

Ресурсы

O компании

Legal