یک کمپین بدافزار به نام Shai-Hulud از سیستمهایی که توسعهدهندگان برای انتشار ایمن نرمافزار به آن تکیه میکنند، سوءاستفاده میکند. این کمپین که نام خود را از کرمهای غولپیکر شن در رمان «تلماسه» فرانک هربرت گرفته است، خطوط لوله خودکاری را هدف قرار میدهد که بسیاری از تیمهای توسعه بدون بررسی دستی، برای انتشار کد به آنها اعتماد دارند.
نحوه عملکرد حمله
Shai-Hulud از در اصلی وارد شبکه یک شرکت نمیشود. در عوض، مکانیزمهای خودکاری را هدف میگیرد که قرار است انتشار نرمافزار را ایمن کنند. این سیستمها – مانند خطوط لوله CI/CD، ثبتهای بسته و مخازن کانتینر – برای سرعت بخشیدن به انتشار با حذف دخالت انسانی طراحی شدهاند. این کمپین با نفوذ به این اعتماد، کدهای مخرب را در کانالهای توزیع معتبر تزریق میکند.
از آنجا که حمله بر خودکارسازی سوار است، میتواند به سرعت در داخل یک خط لوله گسترش یابد. یک سرور ساخت واحد که به خطر افتاده باشد، میتواند بهروزرسانیهای آلوده را به هزاران کاربر پاییندستی منتشر کند، پیش از آنکه کسی متوجه شود.
چرا توسعهدهندگان هدفی آسان هستند
توسعهدهندگان اغلب ابزارهای خودکارسازی خود را مانند یک جعبه سیاه در نظر میگیرند. پس از پیکربندی، خطوط لوله با مجوزهای بالا اجرا میشوند، کد را از مخازن میکشند، آزمایشها را اجرا میکنند و مصنوعات را منتشر میکنند. Shai-Hulud از این فقدان نظارت سوءاستفاده میکند. این کمپین به یک آسیبپذیری روز صفر نیاز ندارد – فقط به دسترسی به سیستمی نیاز دارد که تیم آن را قبلاً مجاز دانسته است.
حملات زنجیره تأمین به سردردی دائمی برای صنعت نرمافزار تبدیل شده است. کمپینهای قبلی به مدیران بسته، سرورهای بهروزرسانی و خدمات امضای کد ضربه زدهاند. Shai-Hulud یادآور تازهای است که زیرساختهایی که برای ایمن نگه داشتن نرمافزار به آنها اعتماد میشود، خود میتوانند به سلاح تبدیل شوند.
آنچه در خطر است
هنگامی که بدافزار یک کانال توزیع نرمافزار را آلوده میکند، قربانیان فقط توسعهدهندگان نیستند – بلکه کاربران نهایی هستند که نرمافزار آلوده را نصب میکنند. بانکها، بیمارستانها، سازمانهای دولتی و میلیونها مصرفکننده به تمیز بودن بهروزرسانیها وابسته هستند. یک نفوذ در زنجیره تأمین میتواند به مهاجمان جای پایی در شبکههای امن بدهد بدون اینکه زنگ خطری به صدا درآید.
بر اساس گزارش محققان امنیتی، کمپین Shai-Hulud همچنان فعال است، اما دامنه دقیق نفوذ نامشخص باقی مانده است. هنوز هیچ قربانی مشخصی یا دادههای سرقتشدهای به طور عمومی به این عملیات مرتبط نشده است.
چالش پیش رو
ایمنسازی خطوط لوله خودکار نرمافزار یک مسئله پیچیده است. این کار نیازمند امضای کد، کنترلهای دسترسی سختگیرانهتر و ممیزیهای منظم خود ابزارها است. اما بسیاری از سازمانها سریع حرکت میکنند و بررسیهای امنیتی را یک تنگنا میدانند. Shai-Hulud ثابت میکند که میانبرها هزینه دارند.
تا زمانی که توسعهدهندگان زیرساخت خودکارسازی خود را با همان دقتی که برای سرورهای تولیدی خود به کار میبرند، مورد بررسی قرار ندهند، کمپینهایی مانند Shai-Hulud همچنان راهی برای نفوذ پیدا خواهند کرد. سؤال این نیست که آیا حمله دیگری رخ خواهد داد، بلکه این است که چند مورد تا دیر نشده نادیده گرفته خواهند شد.
