Триває атака на ланцюг постачань, відома як “Shai-Halud”, яка скомпрометувала кілька npm-пакетів від CrowdStrike. Атака включає шкідливий скрипт bundle.js, який запускає багатоступеневий процес для крадіжки чутливих даних, встановлення персистентності та використання інструменту TruffleHog для сканування секретів, як API-токени та хмарні облікові дані. Ексфільтровані дані надсилаються на жорстко закодований webhook, контрольований зловмисниками, і створюються несанкціоновані workflows GitHub Actions у скомпрометованих репозиторіях.

CrowdStrike виявив шкідливі пакети в публічному реєстрі npm, видалив їх та превентивно оновив ключі. Вони заявили, що пакети не використовуються в сенсорі Falcon, платформа не постраждала, а клієнти захищені. Компанія співпрацює з npm та проводить розслідування.

Рекомендації: Провести аудит CI/CD, ноутбуків розробників та середовищ, де пакети могли бути встановлені. Оновити будь-які витікні токени npm чи секрети. Моніторити логи на незвичайні події npm publish чи модифікації пакетів для виявлення подальшої активності. Це ілюструє зростаючі ризики в ланцюгах постачань відкритого коду та необхідність пильного моніторингу.