La Agencia de Seguridad de Ciberseguridad e Infraestructura instaron a los equipos de seguridad a monitorear sus sistemas Después de un ataque masivo de la cadena de suministro que golpeó el ecosistema del administrador de paquetes de nodo.
El ataque, rastreado bajo el nombre de Shai-Hulud, implicó un gusano auto-replicante que comprometió más que 500 paquetes de softwaresegún StepSecurity.
Después de obtener acceso, un atacante malicioso inyectó malware y escaneó el entorno en busca de credenciales sensibles. Las credenciales incluyeron tokens de acceso personal de GitHub y claves de interfaz de programación de aplicaciones para varios servicios en la nube, incluidos Amazon Web Services, Google Cloud Platform y Microsoft Azure.
Las credenciales robadas fueron cargadas a un punto final controlado por el atacante y luego se subieron a un repositorio público llamado Shai-Hulud.
Los investigadores de Palo Alto Networks dijeron que el atacante usó un LLM para escribir el guión malicioso, Según una publicación de blog actualizada Lanzado el martes.
Github el lunes lo dijo tomó medidas para mitigar el impacto de los ataques. GitHub ha eliminado más de 500 paquetes del registro NPM. Además, se han bloqueado los nuevos paquetes que contienen los indicadores de compromiso del malware.
CISA insta a los equipos de seguridad a tomar una serie de pasos de mitigación para asegurarse de que sus entornos no estuvieran comprometidos. Incluyen las siguientes medidas:
- Realice una revisión de dependencia de todo el software que aprovecha el ecosistema del paquete NPM.
- Busque versiones en caché de dependencias afectadas en repositorios de artefactos, así como herramientas de gestión de dependencias.
- Rotar de inmediato todas las credenciales del desarrollador.
- Implementar la autenticación multifactorial resistente a phishing en cuentas de desarrolladores.
Fuente