Масштабный червь для цепочки поставок npm в стиле Шай-Хулуда поражает программную экосистему, проникая в машины разработчиков, конвейеры CI и инструменты для кодирования с помощью ИИ.
Исследователи из Socket обнаружили активную кампанию атак и назвали ее SANDWORM_MODE, что происходит от переключателей переменных среды «SANDWORM_*», встроенных в логику управления средой выполнения вредоносного ПО.
По меньшей мере 19 пакетов, созданных с использованием тайпосквоттинга, были опубликованы под множеством псевдонимов, маскируясь под популярные утилиты для разработчиков и инструменты, связанные с ИИ. После установки пакеты выполняют многоступенчатую полезную нагрузку, которая извлекает секреты из локальных сред и систем CI, а затем использует украденные токены для изменения других репозиториев.
Полезная нагрузка также реализует «мертвый выключатель» в стиле Шай-Хулуда, который по умолчанию остается ВЫКЛЮЧЕННЫМ и активирует стирание домашнего каталога при обнаружении вредоносного ПО. Исследователи назвали кампанию «реальной и высокорисковой» угрозой, советуя защитникам рассматривать пакеты как риски активного компрометации.
Опечатка для захвата
Кампания начинается с тайпосквоттинга, когда злоумышленники публикуют пакеты с именами, почти идентичными легитимным, рассчитывая на опечатку разработчика или на то, что ИИ сгенерирует неверные зависимости.
«Тайпосквоттинг нацелен на несколько популярных утилит для разработчиков в экосистеме Node.js, криптографические инструменты и, что, возможно, наиболее примечательно, инструменты для кодирования с помощью ИИ, которые быстро набирают популярность: три пакета выдают себя за Claude Code, а один нацелен на OpenClaw, вирусный агент ИИ, который недавно набрал 210 тысяч звезд на GitHub», — написали исследователи в посте в блоге.
Как только вредоносный пакет установлен и запущен, вредоносное ПО ищет конфиденциальные учетные данные, включая токены npm и GitHub, переменные среды и облачные ключи. Затем эти учетные данные используются для внесения вредоносных изменений в другие репозитории и внедрения новых зависимостей или рабочих процессов, расширяя цепочку заражения.
Кроме того, кампания использует вооруженное GitHub Action, которое потенциально может усилить атаку внутри конвейеров CI, извлекая секреты во время сборки и обеспечивая дальнейшее распространение, добавили исследователи.
Отравление интерфейса разработчика ИИ
Кампания была специально отмечена за прямое нацеливание на помощников по кодированию на базе ИИ. Вредоносное ПО развертывает вредоносный сервер протокола контекста модели (MCP) и внедряет его в конфигурации популярных инструментов ИИ, встраиваясь в среду помощника как доверенный компонент.
Как только это достигается, техники внедрения промптов могут обманом заставить ИИ извлекать конфиденциальные локальные данные, которые могут включать SSH-ключи или облачные учетные данные, и передавать их злоумышленнику без ведома пользователя.
Исследователи также обнаружили спящий полиморфный движок, способный переписывать вредоносное ПО посредством преобразований на уровне кода, таких как переименование переменных, перестройка потока управления, вставка ложного кода и кодирование строк, хотя активной мутации во время анализа не наблюдалось. Движок совместим с локально размещенными моделями через Ollama, но в настоящее время проверяет только, запущен ли Ollama локально, написали они.
В раскрытии информации отмечается, что npm уже укрепила реестр против червей класса Шай-Хулуд, ужесточив контроль над злоупотреблением учетными данными, которое эксплуатирует эта кампания. Краткосрочные, ограниченные по области действия токены, обязательная двухфакторная аутентификация для публикации и привязанная к личности «доверенная публикация» из CI призваны ограничить радиус поражения от украденных секретов, хотя их эффективность в конечном итоге зависит от масштаба и скорости внедрения этих мер среди мейнтейнеров.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
