Події 0
Ua
En
Події 0
Результат пошуку:
Детальніше
Головна Прес-центр Фальсифікація сертифікатів SLSA: нова еволюція атак Shai-Hulud
Фальсифікація сертифікатів SLSA: нова еволюція атак Shai-Hulud- image 1
Vectra AI Новини
Опубліковано:

Фальсифікація сертифікатів SLSA: нова еволюція атак Shai-Hulud

У травні 2026 року індустрія безпеки зіткнулася з прецедентом, який зруйнував концепцію безумовної довіри до цифрових підписів у середовищах розробки. Хробак Shai-Hulud під час масованої кампанії не оминав системи захисту ланцюжків постачання, а ідеально проходив усі перевірки, отримуючи легальну атестацію SLSA Build Level 3. Зловмисне програмне забезпечення навчилося викрадати короткострокові токени OIDC та застосовувати їх для запиту криптографічних сертифікатів, перетворюючи саму інфраструктуру CI/CD на інструмент легітимізації шкідливого коду.

Фальсифікація сертифікатів SLSA: нова еволюція атак Shai-Hulud - зображення 1
ВРАЗЛИВІСТЬ АРХІТЕКТУРИ

Ефемерні токени та стандарти довіри

Технологія OpenID Connect (OIDC) у контексті GitHub Actions вирішує критичне завдання безпеки: робочим процесам безперервної інтеграції та розгортання необхідно автентифікуватися у зовнішніх сервісах без збереження довгострокових секретів у репозиторії. Система видає короткостроковий токен, який є активним лише кілька хвилин. Традиційна парадигма передбачає, що цей підхід робить марним викрадення статичних ключів.

Однак хробак Shai-Hulud функціонує в інших умовах. Він ініціює власні процеси безпосередньо всередині робочого завдання Actions у той самий момент, коли токен є активним. Зловмисник не намагається підробити наявний підпис, а звертається до системи сертифікації від імені підтвердженого облікового профілю процесу. Оскільки Sigstore отримує легітимний запит від валідного OIDC-токена, центр сертифікації видає справжній документ. Стандарти перевірки артефактів підтверджують джерело, але неспроможні визначити присутність шкідливого втручання в оперативну пам’ять процесу.

МЕХАНІКА ВТРУЧАННЯ

Аналітика латентних процесів через рівень identity

Головна складність виявлення подібної небезпеки полягає у розгалуженості між різними системами. Шкідливий код зчитує змінну середовища, направляє запит до OIDC-провайдера GitHub, а потім передає отриманий токен до центру сертифікації Fulcio від Sigstore. Після оновлення запису в журналі прозорості Rekor хробак здатний згенерувати дійсний підпис cosign для пакета, який готується до публікації. Усі ці етапи супроводжуються цілком легальними викликами API.

Компанія Vectra AI наголошує, що переміщення відбувається через архітектурний рівень Identity та охоплює три незалежні структури: провайдер OIDC GitHub, центр сертифікації Sigstore та реєстр npm. Кожна система фіксує у своїх журналах аудиту коректну автентифікацію. Сигнал тривоги відсутній саме тому, що не фіксується сам факт присутності стороннього коду, який виконує ці законні команди.

РЕАЛЬНИЙ СЦЕНАРІЙ

Кампанія проти tanstack та відкритий вихідний код

Нещодавня кампанія проти екосистеми TanStack демонструє виняткову масштабність загрози. Упродовж усього п’яти годин було опубліковано 401 шкідливу версію для понад 170 різних пакетів. Під час виконання робочих процесів викрадені облікові дані надсилалися на домен C2, спеціально зареєстрований для цієї операції. Проблема набула критичного статусу після того, як угруповання під назвою TeamPCP виклало повний сирцевий код хробака на платформі GitHub під ліцензією MIT.

Одразу після оприлюднення репозиторію кіберзловмисники та дослідники менш ніж за добу створили 44 форки, один з яких додав підтримку роботи в середовищах FreeBSD. Відкритість інструментарію означає, що техніка вилучення токенів більше не є ексклюзивом однієї групи. Такі екосистеми, як PyPI, RubyGems та Maven, опинилися під загрозою появи нових варіацій хробака, створених на базі цього коду.

МЕТОДОЛОГІЯ ЗАХИСТУ

Поведінковий контекст платформи Vectra AI

Статичне сканування артефактів не здатне зупинити такий тип втручання, адже пакет зберігає функціональну цілісність, а сертифікати є автентичними. Експерти Vectra AI підкреслюють, що справжні індикатори компрометації мають поведінкову природу. Сигналом небезпеки є не сам факт виклику API Sigstore, а поява вихідних підключень до невідомих зовнішніх хостів із робочого середовища, яке паралельно запитує OIDC-токен та публікує пакет у межах однієї сесії.

Рішення компанії Vectra AI допомагає виявляти ці патерни завдяки наскрізному моніторингу ідентифікаторів, мереж та хмарної інфраструктури. Аналітика встановлює глибокий контекст: що саме робив процес перед публікацією результату, до яких хмарних сервісів звертався та який нетиповий трафік генерував. Кореляція цих подій дозволяє ідентифікувати аномалію ще до того, як відформатований пакет потрапить до корпоративних систем.

Підсумок:

  • Легітимні сертифікати безпеки доводять виключно автентичність допуску компанії, але не перевіряють наміри процесу, що виконується в CI/CD.
  • Відкритий код хробака Shai-Hulud багаторазово збільшив ризики компрометації ланцюжків постачання через ефемерні токени.
  • Традиційні засоби ізольованої перевірки неефективні проти латентного переміщення; єдиний дієвий захист — це створення корельованого поведінкового контексту.

Компанія iIT Distribution як дистриб’ютор рішень Vectra AI надає експертну екосистему для розгортання передових систем кібербезпеки. Команда фахівців iITD забезпечує повний супровід та допомагає з проєктуванням комплексної архітектури захисту, що адаптується до специфіки ланцюжків постачання та оберігає підприємства від новітніх тактик кіберзловмисників на всіх рівнях.

НОВИНИ

Актуальні новини на вашу тему

Hexnode
iiTD та Hexnode посилюють напрямок UEM
Детальніше
Commvault Новини
Цифровий суверенітет: як побудувати стратегію, готову до аудиту та кіберінцидентів
Детальніше
CrowdStrike Новини
Глобальні кіберзагрози для технологічного сектора 2026 року
Детальніше
Усі новини
Усі новини
Цей веб-сайт використовує файли cookie для зручності. Політика конфіденційності