一周前9家安全企业不约而同提出警告,Shai-Hulud蠕虫二度现身NPM组件存储库,3天内上传超过1千个组件,感染2.7万个GitHub存储库,灾情也蔓延到Maven Central,他们将这起事故称为Shai-Hulud 2.0或Sha1-Hulud,如今有安全企业进一步清查受害范围,公布后续态势。
安全企业Wiz指出Shai-Hulud 2.0活跃期间比第一波攻击长,在11月24日事故披露之后,超过6天仍有新的存储库产生,但速度趋缓,每天仅有增加数十个存储库。不过,相关的活动于12月1日再度升温,攻击者在半天里产生超过200个新存储库。值得留意的是,这起事故不光影响NPM生态圈及Maven Central,可用于组建事件驱动架构的AsyncAPI,该公司的NPM权限(Token)与Open VSX的API密钥都被外流。
而针对遭到感染的计算机,大部分都是CI/CD Runner,也即执行CI/CD(持续集成/持续部署)任务的程序或代理程序,仅有不到四分之一(23%)是开发者的计算机。对于操作系统的部分,87%受害计算机执行Linux,另有12%为macOS。Wiz指出,受害计算机几乎执行Linux的主要原因,就是前述的Runner实际上多在容器环境运行。这样的情况,也使得攻击者在这波活动里,尝试进行容器逃逸的行为。
根据受害的CI/CD平台类型,GitHub Actions占近六成为大宗,但也有Jenkins、GitLab CI,以及AWS CodeBuild等其他平台。
究竟有多少机密数据外流?Wiz指出受害的存储库超过3万个,其中约有八成暴露environment.json、七成暴露contents.json、五成暴露truffleSecrets.json,以及约有400个暴露actionsSecrets.json。
其中,又以truffleSecrets.json文件影响最大,其中包含超过40万个凭证或是权限,其中仍有超过六成NPM权限仍为有效状态;contents.json暴露了超过500个GitHub用户名及权限。
附带一提的是,所有被感染的组件下载次数差距相当大,Wiz指出其中的@postman/tunnel-agent-0.6.7与@asyncapi/specs-6.8.3两个组件,合计的感染数量达到总数的六成,换言之,若是能尽早对这类组件进行拦截,就可能让这起事故受害范围大幅降低。
