Microsoft Threat Intelligence сообщила в посте на X в понедельник, что расследует компрометацию пакета mistralai в PyPI после того, как злоумышленники, по сообщениям, внедрили вредоносный код, который автоматически выполнялся при импорте, загружал вторичную полезную нагрузку, замаскированную под transformers.pyz, и запускал вредоносное ПО в системах Linux — это последний инцидент, который исследователи связывают с более широкой кампанией по компрометации цепочек поставок программного обеспечения под названием «Mini Shai-Hulud», нацеленной на экосистемы разработчиков. По данным Microsoft, скомпрометированная версия пакета mistralai 2.4.6 содержала вредоносный код, внедренный в mistralai/client/__init__.py, который незаметно загружал файл с удаленного IP-адреса в /tmp/transformers.pyz и выполнял его в фоновом режиме всякий раз, когда пакет импортировался на машинах Linux. Имя файла, по-видимому, было намеренно выбрано так, чтобы имитировать широко используемый фреймворк искусственного интеллекта Transformers от Hugging Face, что потенциально позволяло вредоносному ПО маскироваться в средах машинного обучения и избегать подозрений. Microsoft заявила, что полезная нагрузка второго этапа функционировала в основном как похититель учетных данных, но также содержала логику, зависящую от страны, и деструктивную ветвь, способную выполнить rm -rf / при определенных географических условиях. Полезная нагрузка содержала логику, разработанную для избегания русскоязычных сред, что является поведением, часто наблюдаемым в некоторых кампаниях вредоносного киберпреступного ПО, хотя такие проверки не являются окончательными индикаторами атрибуции. Раскрытие информации произошло на фоне растущей волны компрометации цепочек поставок программного обеспечения, затрагивающих экосистемы как npm, так и PyPI. Ранее в понедельник фирма безопасности Aikido предупредила, что вредоносные версии пакетов, связанные с популярной экосистемой JavaScript TanStack, были скомпрометированы в двух отдельных волнах атак, начавшихся около 19:20 UTC. Сообщается, что затронутые пакеты включали @tanstack/react-router, @tanstack/history и @tanstack/router-core, компоненты, которые в совокупности загружаются десятки миллионов раз в неделю. Спустя несколько часов Aikido сообщила, что несколько пакетов Mistral npm SDK также были скомпрометированы в рамках той же продолжающейся кампании «Mini Shai-Hulud», включая @mistralai/mistralai, @mistralai/mistralai-azure и @mistralai/mistralai-gcp. Фирма предупредила разработчиков немедленно сменить токены GitHub, учетные данные npm, ключи API облачных сервисов и секреты CI/CD, если были установлены затронутые пакеты. Microsoft публично не связывала компрометацию PyPI с Mini Shai-Hulud. Тем не менее, инциденты имеют ряд общих характеристик, включая вредоносный код, внедренный в доверенные пакеты, поэтапную загрузку полезных нагрузок, кражу учетных данных и автоматическое выполнение во время установки или импорта. Это совпадение вызвало обеспокоенность тем, что злоумышленники все чаще нацеливаются на саму инфраструктуру разработчиков, а не непосредственно на конечных пользователей. Современные среды разработки часто содержат высокоценные учетные данные, включая персональные токены доступа GitHub, ключи развертывания в облаке, учетные данные SSH, токены публикации npm и доступ к системам CI/CD. Таким образом, скомпрометированная рабочая станция разработчика или раннер CI может предоставить злоумышленникам путь в гораздо более крупные программные экосистемы, позволяя вредоносным обновлениям распространяться через легитимные каналы распространения пакетов. Поведение, наблюдавшееся в скомпрометированном пакете Mistralai, отражает этот риск эскалации. Согласно анализу Microsoft, внедренный код незаметно использовал curl для получения вторичной полезной нагрузки, а затем запускал ее как отдельный фоновый процесс, предназначенный для продолжения работы независимо от исходной сессии Python. Сообщается также, что вредоносное ПО подавляло ошибки выполнения и ограничивало активность системами Linux, доминирующей операционной системой на серверах, в облачных средах и во многих рабочих нагрузках ИИ. Атаки на цепочки поставок стали все более серьезной проблемой для всей индустрии программного обеспечения из-за огромного масштаба повторного использования доверенных зависимостей. Один скомпрометированный пакет может быстро распространиться на тысячи нижестоящих приложений, корпоративных сред и производственных систем. Крупные инциденты последних лет включают взлом SolarWinds, компрометацию event-stream в npm, атаку на цепочку поставок 3CX и попытку внедрения бэкдора XZ Utils. Последняя волна особенно примечательна тем, что одновременно нацелена на инструменты ИИ, облачные SDK и широко используемые фреймворки для фронтенд-разработки. Исследователи полагают, что основная цель кампании — кража учетных данных, что потенциально позволяет злоумышленникам компрометировать дополнительные пакеты, учетные записи мейнтейнеров и инфраструктуру публикации в каскадной цепи заражений экосистемы. Microsoft посоветовала организациям изолировать затронутые хосты Linux, заблокировать исходящие соединения с вредоносным IP-адресом, искать индикаторы, включая /tmp/transformers.pyz, pgmonitor.py и pgsql-monitor.service, и немедленно сменить любые потенциально скомпрометированные учетные данные. Компрометации все еще расследуются, и по мере того, как мейнтейнеры и фирмы по безопасности продолжают аудит инфраструктуры публикации и скомпрометированных учетных данных, могут появиться дополнительные затронутые пакеты.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Etiido Uko
