Всем привет! Подводим итоги сентября дайджестом ключевых новостей. В прошлом месяце на npm отметились две крупных компрометации пакетов, включая первого самореплицирующегося червя. Он встряхнул всю экосистему и вынудил GitHub ужесточить правила аутентификации и публикации пакетов.

Кроме того, в Entra ID раскрыли уязвимость, которая могла привести к компрометации любого аккаунта, завязанного на эту систему идентификации. Из-за Великого Китайского Файрвола произошла беспрецедентная утечка, а августовская кража токенов Salesloft заметно выросла в масштабах. Об этом и других интересных ИБ-событиях сентября читайте под катом!

Шаи-Хулуд как драйвер изменений на npm

В сентябре на npm засветилась новинка от мира малвари — и хорошего, как обычно, с такими заголовками мало. А именно первый самореплицирующийся червь, по цепочке заражающий всё новые пакеты в экосистеме. Он получил название Shai-Hulud.

Принцип довольно простой: червь обновляет пакеты на скомпрометированных аккаунтах через postinstall вредоносным bundle[.]js. Пакеты качают, малварь тянет токены, и заражение идёт дальше. С учётом того, сколько там зависимостей, охват у атаки масштабный. Изначально затронуты были больше 500 пакетов, и число только росло. Скомпрометирован оказался даже аккаунт CrowdStrike. В черве был инфостилер TruffleHog на 800 секретов, плюс приватные репы на скомпрометированных аккаунтах публиковались как публичные.

Shai-Hulud моментально затмил произошедшую на npm ранее в сентябре компрометацию пакетов Nx. И при этом кроме нулевого пациента интеракции было ноль — всё шло на самоподдуве через CI/CD. Автоматизация, которую мы заслужили.

В результате Shai-Hulud стал для GitHub последней каплей. Компания анонсировала крупные изменения в системе аутентификации и публикации пакетов.

GitHub откажется от "устаревших" механизмов аутентификации, а также усилит меры контроля. Двухфакторка будет обязательной для публикации, а токенам сократят время жизни до 7 дней. Кроме того, по умолчанию публикации с токенов будут заблокированы — либо Trusted Publishing, либо ручная с двухфакторкой.

Исключения с обходом 2FA тоже отменят. Нововведения говорящие: если разрабы не хотят сами пользоваться двухфакторкой и ограничивать себя в токенах, будут теперь это делать из-под палки. Шаи-Хулуд как драйвер положительных изменений в экосистеме что в мире Дюны, что в реальной жизни. Хороший получился кроссовер.

Легаси-системы как ключ компрометации Entra ID

В прошлом месяце в Microsoft Entra ID раскрыли уязвимости, позволявшие получить доступ к любому завязанному на неё инстансу. А разгадка проста: легаси-системы, про которые все забыли, а их разработчик всё в этой жизни понял и давно пропал с радаров.

Цепочка из двух уязвимостей сводилась к токенам в бэкенде и критическому багу в легаси Azure AD Graph API — отсутствии валидации этих самых токенов. В результате они давали доступ к любому инстансу с правами глобального админа. В 2023-м китайская апэтэшечка стянула ключ для подписи, позволявший генерировать токены — здесь суть примерно та же с компрометацией всего и вся. Но уязвимость нашёл исследователь, её закрыли за пару дней в июле, happy end.

Забивать на легаси-системы — это, конечно, добрая традиция, которую ни один уважающий себя разраб не нарушит, пытаясь понять сумрачный гений предшественников. Но когда это системы управления учётками, последствия могут быть интересными. Подробнее об уязвимостях здесь. А о других ключевых CVE сентября можно прочесть в нашем блоге на Хабре.

Компрометация Nx

На npm в сентябре произошёл масштабный угон популярных JavaScript-библиотек, который, впрочем, вскоре затмил упомянутый ранее Shai-Hulud. 18 пакетов с ~2 миллиардами скачиваний в неделю обзавелись кодом под стягивание криптовалюты из браузера. И всё это одним фишинговым письмом по одному же мейнтейнеру.

Атаку быстро заметили и порешали вопрос за пару часов. Плюс злоумышленники были, так сказать, не очень амбициозные — угнать 18 пакетов с миллиардами скачиваний, на которых держится полсети, просто чтобы закинуть в них перехватчик крипты. Большая удача для мирового сообщества, в общем. И напоминание обо всём, что не так с современной сетевой инфраструктурой. Последние 15 лет каждый разработчик подтягивает пару сотен связанных библиотек, которые мейтейнят пара десятков человек в избушке в глуши. Что может пойти не так?

Хочешь доступ к мировым компаниям? Отправь фишинговое письмо уставшему разрабу, на чьих библиотеках выстроена вся сеть. И закинь в них криптодрейнер. Вы, без сомнения, самый жалкий злоумышленник из всех, о которых я слышал. Но теперь благодаря нестареющему комиксу выше мы все о нём слышали.

По следам атаки на цепочку поставок по библиотекам товарища Qix обнаружили, что попутно ещё один мейнтейнер попался на аналогичное фишинговое письмо. Duckdb_admin, на котором висят связанные с DuckDB пакеты.

“Обновите 2FA или через пару дней залочим ваш аккаунт”. Казалось бы, очевидный фишинг, но нет — мейнтейнер счёл его “правдоподобным”. В пакетах тот же криптокрад, и охват сильно скромнее основной атаки — вместо миллиардов скачиваний несколько сотен тысяч. Но корень проблемы тот же: опенсорс и человеческий фактор единичных человеков, его обслуживающих.

Между тем оцените прибыльность от атак: суммарно стянули около тысячи баксов. Суммы, которые компании по миру потратят на аудит и проверку инфраструктуры, будут на порядки выше. Вот тебе и шальные киберпреступные денежки: в мечтах у тебя яхты и красотки, а в реальности несколько центов в эфире и 20 баксов какого-то щиткоина. Се ля ви!

Утечка из-за китайского файрвола

В сентябре из-за Великого Китайского Файрвола произошла утечка. Точнее, из него. Её уже успели окрестить крупнейшим из сливов, связанных с главным инструментом Китая по борьбе с так называемой недружественной паутиной.

В утечке ~600 GB данных. Исходники, рабочие логи, внутренняя переписка, логи разработки, документация, датасеты с JIRA и прочее за многие годы. Утекло всё это из двух ключевых организаций, ответственных за разработку инфраструктуры файрвола. В общем, золотая жила для желающих прикоснуться к прекрасному цифровому будущему.

Ковыряющиеся в данных энтузиасты заявляют, что они перевернут представление о системах, ответственных за сетевое благополучие большого китайского брата и не только. Всё это уже доступно для всех желающих, только лезть в утекшее стоит за дюжиной изолированных от сети виртуалок. Иначе малварь, малварь, слежка, лаовай, -1000 социальный кредит и никакой кошкожены. Вас предупредили.

Кража токенов Salesloft и компрометация сотен компаний 

Августовская кража auth-токенов у Salesloft, разработчика корпоративного чат-бота, в прошлом месяце только росла и ширилась. Google предупредила, что вместе с данными c Salesforce стянули токены сотен других интегрированных сервисов.

Salesloft раскрыла взлом 20 августа — были скомпрометированы токены от их чат-бота Drift, затронуты больше 700 компаний. А следом выяснилось, что утекло и интегрированное с Salesloft — токены от Slack, Azure, Amazon S3, Google Workspace и далее по списку. Ответственность за взлом на себя взяли ShinyHunters в коллабе с Scattered Spider и Lapsus$. Они заявили о краже 1,5 миллиардов записей из 760 компаний, скомпрометированных с помощью токенов Salesloft, но к их заявлениям стоит относиться со скептицизмом.

Последние месяц-два Scattered Spider и компания регулярно всплывают в новостях, но кто видел одно малолетнее дарование от сайберкрайма, видел их всех. “Мы не кибертеррористы, мы кибербоги” — вот это вот всё. От угроз в адрес Google детишки перешли на угрозы ФБР и явно решили устроить спидран до списка особо разыскиваемых, экстрадиции и посадки. Быть неуязвимым богом хакинга в 19, конечно, весело. Но только пока в дверь не постучали. Что и произошло с несколькими членами группировки из Великобритании в сентябре.

Среди пострадавших от кражи токенов чат-бота Salesloft Drift нашлись и ИБ-компании: утечку клиентских данных раскрыли Zscaler, CyberArk, Palo Alto Networks и многие другие. Затронут только сам инстанс, остальная инфраструктура не пострадала.

По итогам утекла информация на клиентов из техподдержки: имена, рабочие почты, должности, телефоны, информация о продуктах, детали кейсов. Клиентам рекомендуют опасаться фишинговых звонков и писем от малолетних дарований и прочих причастных.

Так как утекло из ИБ, спрос с них побольше: доступ с Drift отключили, все подручные токены сменили, протоколы укрепили, расследование ведут, аудит сторонних сервисов запросили — всё как полагается. Но осадочек всё равно останется. Не спрашивай у ИБ-фирмы, насколько защищены её продукты. Спрашивай, насколько защищены её SaaS. (Спойлер: не очень.)

ИБ-нерды выходят на тропу войны

Сентябрь также принёс добрую ИБ-историю со счастливым концом. В субботу 20 сентября у паренька из Латвии с 4 стадией рака, собиравшего деньги на лечение стримингом игр и продвижением какого-то щиткоина, целевой атакой стянули $32 тысячи криптодрейнером в прямом эфире. И никому в коммьюнити это не понравилось. Вы разозлили нердов.

Как только история всплыла, к расследованию подключились десятки людей — от исследователей малвари до детективов по крипте и осинтеров. Вектором атаки была игра в Steam в формате “Протестируй наше демо за плату”. Дрейнер оказался навайбкожен, так что его вскрыли в тот же день: вместе с игрой шёл .bat-ник с захардкоженными данными акка в Telegram и токенами от бота, через него вытянули всю инфраструктуру.

По итогам уже на утро понедельника инфру положили, игру снесли из Steam, пострадавших уведомят, причастных сдеанонили вплоть до места проживания оператора, у которого с опсеком было так же плохо, как и с кодингом. Он оказался из Аргентины по визе в США — его репортнули миграционке, а жертве дрейнера задонатили потерянную им сумму и больше. Мораль проста: не зли кибербез-нердов, вайбкодя малварь у себя в Майами. Форензика по дрейнеру здесь, а историю в прямом эфире можно найти на vx-underground в постах за 20-23 сентября.

Шоу Трумана с участием злоумышленника

И наконец, сентябрь также отметился забавной историей из мира EDR-решений. Неизвестный злоумышленник накатил на свою машину демо EDR от Huntress с неясной целью, но не учёл, какой доступ даёт разрабу. Получился нечаянный инсайд в жизнь среднестатистического киберпреступника.

Команда Huntress засекла подозрительную активность на хосте, устройство было флагнуто в предыдущих инцидентах. И промониторила его за 3 месяца в формате весёлой муравьиной фермы со злоумышленником в главной роли. Фишинговые киты, эксплойты, малварь, автоматизация через LLM’ки, стянутые куки. Красноглазие по 8-14 часов неделями напролёт. В общем, киберпреступные будни в прямом эфире.

По итогам опубликован анализ, но мнения в сообществе разделились. Одни жалуются на грубое нарушение приватности, впервые узнав, как работают EDR. Другие недовольны, что злоумышленника сразу не сдали властям. А у нас в сухом остатке “Шоу Трумана” с окном в киберпреступную повседневность. Подробнее читайте в их отчёте.