מדיונה ל-npm: תולעת שי-חולוד מגדירה מחדש Supply Chain לְהִסְתָכֵּן
עַל יְדֵי
OPSWAT
שתף את הפוסט הזה
מעריצי Dune יזהו את "שי-חולוד" כשם שניתן לתולעי החול העצומות שמעצבים מחדש את המדבר בכוחן הבלתי ניתן לעצירה. כעת, קהילת הקוד הפתוח מתמודדת עם איום סייבר דומה. ב-15 בספטמבר, קהילת התוכנה בקוד פתוח התמודדה עם אחד המשברים המשבשים ביותר שלה עד כה: תולעת משכפלת את עצמה, המכונה שי-חולוד , עברה דרך המערכת האקולוגית של npm, ופגעה ביותר מ-180 חבילות תוך שעות.
ספריות מהימנות כמו @ctrl/tinycolor, crowdstrike-nodejs, ערכת מחרוזות, json-sugar, צבעי פוטון , ומזלגות של typed.js ו תאריך ושעה כבר מושפעים. עם מיליוני הורדות בכל שבוע, ארגונים מושכים, מבלי דעת, הדבקות פעילות ישירות לתוך צינורות הבנייה שלהם.
התולעת מנצלת ווים של מחזור חיים של npm כדי לגנוב אישורי GitHub וענן ציבורי, ולאחר מכן משתמשת בסודות אלה כדי לפרסם עדכונים מורעלים לפרויקטים אחרים.
זרימת התקפה
גרסה פרוצה של @ctrl/tinycolor מזריק סקריפט זדוני מקומי (bundle.js).
הסקריפט bundle.js מוריד ומבצע את TruffleHog כדי לסרוק סודות GitHub במחשב של הקורבן.
באמצעות סודות GitHub שהתגלו, הסקריפט מונה מאגרים נגישים (בעלים, משתף פעולה או חבר בארגון).
עבור כל מאגר, הוא מאחזר את הענף המוגדר כברירת מחדל, יוצר שי-חולוד ענף, ומעלה קובץ זרימת עבודה אל .github/workflows/shai-hulud-workflow.yml .
תהליך העבודה מוגדר להפעלה באירועי דחיפה. רץ GitHub Actions מבצע את המשימה בהקשר של המאגר, שיש לו גישה לסודות.
זרימת העבודה קוראת סודות GitHub ומוציאה אותם לנקודת קצה הנשלטת על ידי התוקף.
למה זה חשוב עכשיו ובטווח הארוך
קוד פתוח הוא פתוח מטבעו. רישום ה-npm משרת מאות מיליארדי הורדות בכל חודש, וכל אחד יכול לפרסם חבילה. פתיחות זו מניעה חדשנות, אך היא גם יוצרת הזדמנויות לתוקפים להפוך אמון לנשק בקנה מידה גדול.
ההתפרצות הופכת עובדה אחת לבלתי נמנעת: אמון אינו קבוע. חבילה שבטוחה היום עלולה להיפגע מחר.
עכשיו לעומת הבא: איזון בין אוטומציה להתערבות אנושית
עכשיו: תגובה מיידית
הבא: חוסן לטווח ארוך
בְּדִיקָה npm תלויות וסריקת ארטיפקטים עם מנועים מרובים.
התייחסו לכל חבילה כלא אמינה עד שיוכח שהיא נקייה (למשל, MetaDefender Software Supply Chain או דומה). סריקת חפצים אוטומטית עבור כל החבילות.
מפתחים משהים התקנות עיוורות ומאשרים מקורות תלות באופן ידני.
צוותי אבטחה בודקים באופן קבוע חבילות בסיכון גבוה ומסלמים את הליך הפעולה כאשר מופיעות אנומליות.
הימנעו מהתקנה אוטומטית של הגרסה העדכנית ביותר; ציינו גרסאות מדויקות ושדרגו רק לאחר אימות: npm install <package name>@<package version>
Secure מנהלי חבילות - שימוש pnpm אוֹ npm.
התקן עם --ignore-scripts כדי לחסום סקריפטים מסוכנים לאחר התקנה.
עיכוב ואימות עדכונים – לדוגמה, גיל שחרור מינימלי + ביקורת pnpm.
ביטול וסובב של סודות חשופים.
אכיפת מדיניות רוטציה אוטומטית וברירות מחדל של מינימום הרשאות.
צוותי אבטחה מעריכים שימוש חשוד בפרטי גישה ומחליטים על צעדי בלימה.
מנהלים קובעים סטנדרטים של ממשל ומבטיחים דין וחשבון על אמון בשרשרת האספקה.
אכיפת בדיקות MFA וחתימות ב-CI/CD.
דרוש קומיטים חתומים ומקור בנייה מאומת עבור כל הגרסאות.
מנהיגים מחליטים מתי להאט את המסירה כדי להגן על היושרה.
דירקטוריונים מתייחסים לאמון תוכנה כסוגיה של חוסן אסטרטגי, ולא כסוגיה של תאימות.
התמונה הגדולה יותר
עבור מנהלים, מתקפה זו היא תזכורת לכך שסיכון שרשרת האספקה של תוכנה הוא סיכון ארגוני. רגולטורים מצפים לבקרות ניתנות לאימות, ולקוחות מצפים להוכחת יושרה. דירקטוריונים אינם יכולים עוד לדחות דין וחשבון על הקוד שמניע את הפעילות הקריטית.
עבור אנשי מקצוע, ההתפרצות מראה שתהליכים מבוססי קוד פתוח חייבים להתפתח. יש להתייחס לכל תלות בקוד פתוח כלא אמינה עד שיוכח שהיא בטוחה. SBOMs, סריקות תוכנות זדוניות וחיטוי מספקים את קו הבסיס, אך המודעות האנושית - עצירה, חקירה, הסלמה - היא זו שמונעת מאוטומציה עיוורת לייבא את התולעת הבאה.
OPSWAT הפרספקטיבה של
בִּניָן Supply Chain אֵמוּן
אירועים כמו מתקפות שרשרת אספקה על סביבות קוד פתוח כמו npm הם הוכחה לכך ששרשראות אספקה של תוכנה הן כיום עומסי עבודה קריטיים. התעשייה חייבת לעבור מאמון עיוור לאמון בר-אימות.
ג'ורג' פריצ'יצ'י
סמנכ"ל מוצרים, OPSWAT
בְּ OPSWAT אנו מאמינים שאמון בשרשרת האספקה צריך להיבנות, לא להניח. גישתנו מתמקדת בהגנה לעומק:
נראות מקיפה של שרשרת האספקה של תוכנה עם שילוב SBOM למעקב אחר כל רכיב תוכנה, זיהוי פגיעויות, ניהול סיכונים לאורך כל תהליך ה-SDLC ואימות מקור בכל שלב.
Multiscanning עם יותר מ-30 מנועים לאיתור תוכנות זדוניות רב-מורפיות ותוכנות זדוניות אחרות בחבילות, במיוחד בקוד פתוח של צד שלישי.
Sandbox Adaptive : ניתוח מבוסס בינה מלאכותית שמזהה במהירות אפילו את התוכנות הזדוניות החמקמקות ביותר.
בקרות Secure והעברה מאובטחות האוכפות גבולות אמון בין צינורות CI/CD .
בקרות אלו לא רק מזהות סיכונים; הן מנקות באופן פעיל קבצים ואוכפות אמון, ובכך מפחיתות את הסיכוי שאירועים כאלה יגלשו במורד הזרם.
פיתוח מהיר ואבטחה חזקה אינם סותרים זה את זה. צוותי מפתחים זקוקים לתהליכי עבודה אוטומטיים של סריקה ואישור המובנים בשרשרת האספקה של התוכנה כדי שיוכלו להגן על קוד מבלי להאט את הקצב.
ג'ורג' פריצ'יצ'י
סמנכ"ל מוצרים, OPSWAT
אבטחה שעומדת בקצב הפיתוח
עִם OPSWAT , אבטחה משתלבת ישירות בזרימות עבודה קיימות:
שילוב צינורות CI/CD – סריקות אוטומטיות ואכיפת מדיניות בתוך Jenkins, GitHub Actions, GitLab וסביבות בנייה אחרות. אימות חבילות npm, קונטיינרים וקבצים בינאריים כחלק משלבי בנייה שגרתיים.
יצירת ואימות SBOM לפי דרישה – יצירה ואמת של SBOM באופן אוטומטי עבור כל מהדורה, תוך הבטחת מקור ללא תקורה נוספת.
חוויית מפתח שקופה - האבטחה פועלת ברקע, וחושפת בעיות רק כאשר נדרשת התערבות אמיתית.
ווים לתיקון אוטומטיים - הכנס קבצים שנפרצו להסגר או ניקוי מבלי לשבש את תהליכי הבנייה.
תרבות פיתוח מונעת מהירות אינה צריכה להתנגש עם אימות אבטחה הכרחי; זרימות עבודה אוטומטיות של סריקה ואישור צריכות להיות חובה, עם השפעה מינימלית על מהירות הפיתוח.
על ידי הטמעת יכולות אלו במחזור חיי התוכנה, OPSWAT עוזר לארגונים להשיג גם מהירות פיתוח וגם אמון בר-אישור, וזה איזון שאירוע ה-npm מוכיח שהוא חיוני כעת.
תולעת ה-npm של שי-חולוד היא איתות ברור לאיומים המעצבים תוכנה כיום. תוקפים אינם צריכים לפרוץ לבסיס הקוד שלכם. הם יכולים לשכנע אתכם להתקין אותם. אמתו כל ארטיפקט, הטמיעו חוסן בכל שלב והעצימו אנשים לפעול כאשר אוטומציה לבדה אינה מספיקה. ארגונים שלוקחים זאת ברצינות כעת יגדירו את עתיד שרשראות האספקה המאובטחות של תוכנה.
מוכנים להגן על שרשרת האספקה של התוכנה שלכם מפני איומי הסייבר האחרונים באמצעות פתרונות מותאמים אישית ומשולבים בצורה חלקה?
