Forwarded from OnHex
🔴 چندین پکیج npm مربوط به CrowdStrike که توسط حساب crowdstrike-publisher در npm منتشر شده بود، آلوده شدن.
این موضوع به نظر میرسه ادامه ی کمپین مخرب زنجیره تأمین با عنوان Shai-Halud attack هستش که قبلا پکیج tinycolor و بیش از ۴۰ پکیج دیگه رو آلوده کرده بود.
بدافزار بکار رفته مشابه همون کمپین قبلیه و شامل یک اسکریپت bundle.js هستش که کارهای زیر رو انجام میده:
- دانلود و اجرای TruffleHog (یک ابزار قانونی برای اسکن اطلاعات حساس و کلیدها - افزونه)
- جستجوی سیستم میزبان برای یافتن توکن ها و اعتبارنامه های ابری
- اعتبارسنجی کلیدهای توسعه دهندگان و CI کشف شده
- ایجاد workflowهای غیرمجاز GitHub Actions درون مخازن (برای پرسیست)
- استخراج و ارسال دادههای حساس به یک وبهوک (webhook) هاردکد شده
پکیجهای آلوده به سرعت توسط رجیستری npm حذف شدن.
همچنین بدافزار یک فایل workflow با نام shai-hulud.yaml داره که اشاره به کرم های شنی در رمان Dune داره. اگرچه این ارجاع منحصربهفرد نیست، اما وجود اون نشون میده که مهاجم عمداً این کمپین رو با نام Shai-Hulud برندگذاری کرده.
پکیجهای تحت تاثیر:
شرکت CrowdStrike اعلام کرده: پس از شناسایی چندین پکیج آلوده در رجیستری عمومی NPM، اونارو حذف کرده و کلیدهاشون رو در رجیستری های عمومی تغییر دادن. این پکیجها در Falcon Sensor استفاده نمیشن بنابراین این پلتفرم تحت تأثیر قرار نگرفته و مشتریان همچنان محافظت میشن. همچنان در حال همکاری با NPM و انجام یک بررسی جامع هستن.
#حملات_زنجیره_تامین
#CrowdStrike #NPM #SupplyShainAttack #ShaiHaludAttack
🆔 @onhex_ir
➡️ ALL Link
این موضوع به نظر میرسه ادامه ی کمپین مخرب زنجیره تأمین با عنوان Shai-Halud attack هستش که قبلا پکیج tinycolor و بیش از ۴۰ پکیج دیگه رو آلوده کرده بود.
بدافزار بکار رفته مشابه همون کمپین قبلیه و شامل یک اسکریپت bundle.js هستش که کارهای زیر رو انجام میده:
- دانلود و اجرای TruffleHog (یک ابزار قانونی برای اسکن اطلاعات حساس و کلیدها - افزونه)
- جستجوی سیستم میزبان برای یافتن توکن ها و اعتبارنامه های ابری
- اعتبارسنجی کلیدهای توسعه دهندگان و CI کشف شده
- ایجاد workflowهای غیرمجاز GitHub Actions درون مخازن (برای پرسیست)
- استخراج و ارسال دادههای حساس به یک وبهوک (webhook) هاردکد شده
پکیجهای آلوده به سرعت توسط رجیستری npm حذف شدن.
همچنین بدافزار یک فایل workflow با نام shai-hulud.yaml داره که اشاره به کرم های شنی در رمان Dune داره. اگرچه این ارجاع منحصربهفرد نیست، اما وجود اون نشون میده که مهاجم عمداً این کمپین رو با نام Shai-Hulud برندگذاری کرده.
پکیجهای تحت تاثیر:
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
شرکت CrowdStrike اعلام کرده: پس از شناسایی چندین پکیج آلوده در رجیستری عمومی NPM، اونارو حذف کرده و کلیدهاشون رو در رجیستری های عمومی تغییر دادن. این پکیجها در Falcon Sensor استفاده نمیشن بنابراین این پلتفرم تحت تأثیر قرار نگرفته و مشتریان همچنان محافظت میشن. همچنان در حال همکاری با NPM و انجام یک بررسی جامع هستن.
#حملات_زنجیره_تامین
#CrowdStrike #NPM #SupplyShainAttack #ShaiHaludAttack
🆔 @onhex_ir
➡️ ALL Link
Socket
Ongoing Supply Chain Attack Targets CrowdStrike npm Packages...
Socket.dev found compromised various CrowdStrike npm packages, continuing the "Shai-Halud" supply-chain attack that previously hit `tinycolor`.