供應鏈攻擊兩天內急速擴散！逾500個NPM套件被植入具大量散播能力的蠕蟲

軟體供應鏈攻擊的威脅加劇，近期有許多軟體套件發布平臺NPM的套件開發者遭到攻擊，導致他們維護的套件遭到植入惡意軟體的情況，但如今有資安業者也受害，而受到各界關注。

資安業者Socket指出，資安業者CrowdStrike用來發布NPM套件的帳號crowdstrike-publisher出現遭到破壞的情況，他們研判很有可能是軟體供應鏈攻擊活動Shai-Hulud的一部分，因為駭客使用的惡意軟體相同，且當中包含名為bundle.js的指令碼。此指令碼的主要用途，包含下載帳密掃描工具TruffleHog並執行，然後搜尋受害電腦存放的憑證及雲端帳密、偵察開發者的CI帳密資料，並在特定的儲存庫建立未經授權的GitHub Actions工作流程，最終將前述提及的敏感資料外流。

在經過相關通報之後，受影響的套件NPM已經下架處理，總共約有500個套件受到影響，值得留意的是，不光是CrowdStrike的帳號遭駭，還有Operato、Things Factory等多個企業組織也遇害。Socket根據他們找到的有效酬載，指出該惡意程式會寫入GitHub Actions工作流程檔案，檔名是shai-hulud-workflow.yml。另一方面，他們也在程式碼儲存庫GitHub找到近700個號稱能用來緩解Shai-Hulud的儲存庫，究竟這些儲存庫的功能為何，Socket根據儲存庫的命名及時間，推測有可能是用來維護自動化的攻擊流程。

針對這起攻擊事故的發現，Socket起初在世界協調時間（UTC）9月14日傍晚找到7個被感染的套件，後來在16日凌晨發現有CrowdStrike的套件遭到感染。

特別的是，Socket提到在這兩天的時間裡，駭客打造7個版本的惡意程式，而且這些都是能自我散播的蠕蟲。這些版本的差異在於，駭客逐步提升活動的隱匿程度及感染效率。

該惡意軟體主要的功能，就是自動竊取帳密資料，然後用於將工作流程植入其他儲存庫，從而達到自我散布的目的。在進行感染的過程裡，此惡意程式會自動竄改並重新發布套件。

一旦惡意程式成功竊得帳密資料，就有機會取得寫入及重新發布的能力，並將受害套件解開，置換或建立惡意的bundle.js檔案，並竄改package.json加入預先安裝（postinstall）的指令碼。下游使用者若是下載並安裝這些有問題的NPM套件，惡意的預先安裝指令碼或是注入在bundle.js的程式碼就會執行，並在他們的電腦進行偵察，進一步挖掘其他儲存庫及套件的相關帳密資料。

值得留意的是，Socket認為攻擊者可能還有打造其他版本的惡意程式，因為他們看到新版本出現後，有舊版程式再度出現感染的情況，原因是惡意軟體剛好有其他的帳號可以繼續感染。這種情況發生的原因，主要是GitHub Actions的工作流程雖然會觸發事件，但並非連續觸發，使得惡意軟體感染時間會出現明顯的間隔。因此，Socket認為，第7版很有可能不是駭客使用的最新惡意軟體。

針對這波軟體供應鏈攻擊，其他資安業者也公布相關發現，例如，Wiz推測很有可能與8月下旬的Nx供應鏈攻擊有關，Palo Alto Networks確認有超過180個NPM套件受到影響，並指出蠕蟲程式會透過.npmrc竊取NPM帳號的憑證，並挖掘環境變數與組態設定檔案，搜括GitHub私人存取憑證（PAT），以及AWS、GCP、微軟Azure等雲端服務的API金鑰。