SLSA сертификаттарын бұрмалау: Shai-Hulud шабуылдарының жаңа эволюциясы

OpenID Connect (OIDC) технологиясы GitHub Actions контекстінде қауіпсіздіктің маңызды міндетін шешеді: үздіксіз интеграция және орналастыру бойынша жұмыс үдерістері репозиторийде ұзақ мерзімді құпияларды сақтамай-ақ сыртқы қызметтерде аутентификациялануы қажет. Жүйе бірнеше минут қана белсенді болатын қысқа мерзімді токенді береді. Дәстүрлі парадигма бұл тәсілді статикалық кілттерді ұрлауды пайдасыз етеді деп санайды.

Алайда, Shai-Hulud құрты басқа жағдайларда жұмыс істейді. Ол токен белсенді болған кезде дереу Actions жұмысының ішіндегі өз үдерістерін бастайды. Зиянкес қолтаңбаны қолдан жасаумен емес, үдерістің расталған есептік жазба профилінің атынан сертификаттық жүйеге жүгінеді. Sigstore валидті OIDC токенінен заңды сұрау алатындықтан, сертификат орталығы шынайы құжатты береді. Артефакттарды тексеру стандарттары көзін растайды, бірақ үдерістің операциялық жадындағы зиянкесті енгізудің болуын анықтай алмайды.

Осындай қауіп-қатерді анықтаудың негізгі қиындығы әртүрлі жүйелер арасындағы тармақталуда жатыр. Зиянды код орта айнымалысын оқып, GitHub OIDC провайдеріне сұрау жіберіп, Sigstore-дің Fulcio сертификат орталығына алынған токенді береді. Rekor журналын жаңартқаннан кейін құрт жариялануға дайын пакет үшін cosign қолтаңбасын жасай алады. Бұл барлық кезеңдер заңды API қоңырауларымен қатар жүреді.

Vectra AI компаниясы қозғалыс Identity архитектуралық деңгей арқылы жүзеге асатынын және OIDC GitHub провайдерін, Sigstore сертификат орталығын және npm тізілімін қамтитынын атап көрсетеді. Әр жүйе өз аудит журналдарында дұрыстық аутентификациясын тіркейді. Ешқандай ескерту сигналы жоқ, себебі заңды командаларды орындайтын бөгде кодтың қатысу фактысы тіркелмейді.

TanStack экожүйесіне қарсы жақын арадағы науқан қауіптің айрықша ауқымдылығын көрсетеді. Бес сағат ішінде 170-тен астам түрлі пакет үшін 401 зиянды нұсқа шығарылды. Жұмыс үдерістері орындалу кезінде ұрланған есептік деректер осы операция үшін арнайы тіркелген C2 доменіне жіберілді. TeamPCP атты топ құрттың барлық бастапқы кодын GitHub платформасына MIT лицензиясымен жариялағаннан кейін проблема қауіпті деңгейге жетті.

Репозиторий жарияланғаннан кейін кибершабуылдаушылар мен зерттеушілер бір тәуліктен аз уақыт ішінде 44 форк жасап, олардың бірі FreeBSD ортасында жұмыс істеуді қолдауды қосты. Құрал-сайманның ашықтығы токендерді алу техникасы бір топқа эксклюзивті болмайтынын білдіреді. PyPI, RubyGems және Maven сияқты экожүйелер осы код негізінде жасалған құрттың жаңа вариацияларының пайда болу қаупіне ұшырады.

Артефактілерді статикалық сканерлеу мұндай ену түрін тоқтата алмайды, өйткені пакет функционалды бүтіндікті сақтайды, ал сертификаттар шынайы болып табылады. Vectra AI сарапшылары шынайы бұзылу көрсеткіштерінің мінез-құлық сипатында екенін атап көрсетеді. Sigstore API -ін шақыру фактісі емес, OIDC токені сұралатын әрі бір сессия шегінде пакет жарияланатын жұмыс ортасынан белгісіз сыртқы хосттарға қосылымдардың пайда болуы қауіп белгісі болып табылады.

Vectra AI компаниясының шешімі бұл үлгілерді анықтауға идентификаторлар, желілер және бұлт инфрақұрылымдарының толық бақылауы арқылы көмектеседі. Аналитика терең контекст орнатады: үдеріс нәтижені жарияламас бұрын нақты не істегені, қандай бұлтты қызметтерге жүгінгені және қандай ерекше трафикті тудырғаны туралы. Осы оқиғаларды байланыстыру, форматталған пакет корпоративтік жүйелерге түспес бұрын, аномалияны анықтауға мүмкіндік береді.

Қорытынды:

• Қауіпсіздік сертификаттары компанияның рұқсатының шынайылығын ғана дәлелдейді, бірақ CI/CD де атқарыла жатқан үдерістің ниеттерін тексермейді.
• Shai-Hulud құртының ашық коды эфемерлі токендер арқылы жеткізілім тізбектерінің бұзылу қауіптерін көп есе арттырды.
• Жалғыз тиімді қорғау — мінез-құлық контекстін корриттеу, ал оқшауланған тексерудің дәстүрлі құралдары латентті қозғалысқа қарсы тиімсіз.

iIT Distribution компаниясы Vectra AI шешімдерінің дистрибьюторы ретінде киберқауіпсіздік жүйелерін орнатуға арналған сараптау экожүйесін ұсынады. iITD компаниясының мамандар командасы толық сүйемелдеу қамтамасыз етеді және жеткізілім тізбектерінің спецификасына бейімделетін күрделі қорғаныс архитектурасын жобалауға көмектеседі, бұл корпорацияларды жаңа кибершабуылдар тактикасынан барлық деңгейде қорғайды.