En ny Shai-Hulud-kampanje har kompromittert 19 Python-pakker som brukes innen vitenskapelig forskning og bioinformatikkprosjekter. Angriperne la inn skadelig kode i legitime PyPI-pakker og utsatte utviklere for tyveri av innloggingsopplysninger og angrep mot programvareforsyningskjeden.
Sikkerhetsforskere oppdaget kampanjen etter å ha identifisert mistenkelige oppdateringer i flere betrodde pakker. Hendelsen understreker den økende trusselen mot økosystemer med åpen kildekode, samtidig som trusselaktører fortsetter å rette seg mot utviklerkontoer og programvarelagre.
Angripere kompromitterte betrodde forskningspakker
Angriperne rettet seg mot legitime PyPI-prosjekter i stedet for å opprette falske pakker. De fikk tilgang til vedlikeholdernes kontoer og publiserte skadelige oppdateringer gjennom de offisielle distribusjonskanalene.
Forskerne knyttet kampanjen til 19 pakker som brukes innen vitenskapelige beregninger, dataanalyse og bioinformatikk. Siden utviklere allerede stolte på disse prosjektene, lastet mange brukere ned de infiserte versjonene uten å mistenke noe.
Denne taktikken ga angriperne direkte tilgang til utviklingsmiljøer som er avhengige av programvare med åpen kildekode. I tillegg økte den sannsynligheten for at brukerne installerte de skadelige pakkene som en del av sine vanlige oppdateringer.
Skadevaren rettet seg mot utvikleres innloggingsopplysninger
Den skadelige koden fokuserte på å stjele sensitiv informasjon fra infiserte systemer. Forskerne oppdaget at skadevaren lette etter autentiseringstokener, innloggingsopplysninger og utviklingshemmeligheter som var lagret på utviklernes arbeidsstasjoner.
Angriperne forsøkte å få tilgang til kildekodelagre og plattformer for publisering av programvare. Ved å stjele vedlikeholdernes innloggingsopplysninger kunne de kompromittere flere prosjekter og spre skadelig kode til nye ofre.
Forskerne identifiserte kampanjen som en del av den bredere Shai-Hulud-operasjonen, som gjentatte ganger har rettet seg mot programvareøkosystemer gjennom kompromitterte utviklerkontoer.
Strategien gjør det mulig for angriperne å misbruke tilliten mellom utviklere og prosjekter med åpen kildekode i stedet for å basere seg på tradisjonelle phishingkampanjer.
Risikoen i forsyningskjeden fortsetter å øke
Angrep mot programvareforsyningskjeden er fortsatt attraktive fordi én enkelt kompromittering kan ramme tusenvis av brukere lenger ned i kjeden.
Når angripere får kontroll over en betrodd pakke, kan de distribuere skadevare gjennom vanlige mekanismer for programvareoppdateringer. Mange organisasjoner installerer dessuten pakkeoppdateringer automatisk, noe som gjør slike angrep spesielt effektive.
Shai-Hulud-kampanjen viser hvordan trusselaktører fortsetter å forbedre metodene sine for å maksimere rekkevidden samtidig som de unngår oppdagelse. I stedet for å angripe enkeltpersoner kompromitterer de betrodde komponenter som utviklere bruker hver eneste dag.
Forskere oppfordrer til umiddelbar handling
Forskerne anbefaler at utviklere identifiserer alle berørte pakkeversjoner og fjerner dem umiddelbart. Organisasjoner bør også bytte innloggingsopplysninger, API-nøkler og tilgangstokener som angriperne kan ha samlet inn fra kompromitterte systemer.
Sikkerhetsteam bør gjennomgå aktivitet i kodearkiver for å oppdage uautoriserte endringer og overvåke kontoer for mistenkelige innloggingsforsøk. Ytterligere revisjoner kan hjelpe organisasjoner med å avgjøre om angriperne fikk tilgang til utviklingsinfrastrukturen.
Sterk kontosikkerhet, flerfaktorautentisering og overvåking av avhengigheter kan redusere risikoen for lignende angrep i fremtiden.
Konklusjon
Den nyeste Shai-Hulud-kampanjen viser hvordan angripere fortsetter å utnytte tilliten i økosystemet for åpen kildekode. Ved å kompromittere legitime PyPI-pakker fikk de en vei inn i forsknings- og utviklingsmiljøer som er avhengige av betrodd programvare.
Etter hvert som truslene mot forsyningskjeden blir stadig mer avanserte, må organisasjoner styrke sikkerheten rundt programvarepakker, beskytte utviklerkontoer og overvåke avhengighetene sine nøye for å begrense konsekvensene av fremtidige angrep.
0 responses to “Shai-Hulud-skadevare infiserer 19 vitenskapsfokuserte PyPI-pakker”