Фальсификация сертификатов SLSA: новая эволюция атак Shai-Hulud

Технология OpenID Connect (OIDC) в контексте GitHub Actions решает критическую задачу безопасности: рабочим процессам непрерывной интеграции и развертывания необходимо аутентифицироваться во внешних сервисах без сохранения долгосрочных секретов в репозитории. Система выдает краткосрочный токен, который активен лишь несколько минут. Традиционная парадигма предполагает, что этот подход делает бессмысленным похищение статических ключей.

Однако червь Shai-Hulud функционирует в других условиях. Он инициирует собственные процессы непосредственно внутри рабочего задания Actions в тот же момент, когда токен активен. Злоумышленник не пытается подделать существующую подпись, а обращается к системе сертификации от имени подтвержденного учетного профиля процесса. Поскольку Sigstore получает легитимный запрос от валидного OIDC-токена, центр сертификации выдает настоящий документ. Стандарты проверки артефактов подтверждают источник, но неспособны определить присутствие вредоносного вмешательства в оперативную память процесса.

Основная сложность обнаружения подобной опасности заключается в разветвленности между различными системами. Вредоносный код считывает переменную окружения, направляет запрос к OIDC-провайдеру GitHub, а затем передает полученный токен к центру сертификации Fulcio от Sigstore. После обновления записи в журнале прозрачности Rekor червь способен сгенерировать действительную подпись cosign для пакета, который готовится к публикации. Все эти этапы сопровождаются вполне легальными вызовами API.

Компания Vectra AI подчеркивает, что перемещение происходит через архитектурный уровень Identity и охватывает три независимые структуры: провайдер OIDC GitHub, центр сертификации Sigstore и реестр npm. Каждая система фиксирует в своих журналах аудита корректную аутентификацию. Сигнал тревоги отсутствует именно потому, что не фиксируется сам факт присутствия стороннего кода, который выполняет эти законные команды.

Недавняя кампания против экосистемы TanStack демонстрирует исключительную масштабность угрозы. В течение всего пяти часов было опубликовано 401 вредоносная версия для более чем 170 разных пакетов. Во время выполнения рабочих процессов похищенные учетные данные отправлялись на домен C2, специально зарегистрированный для этой операции. Проблема приобрела критический статус после того, как группировка под названием TeamPCP выложила полный исходный код червя на платформе GitHub под лицензией MIT.

Сразу после публикации репозитория киберзлоумышленники и исследователи менее чем за сутки создали 44 форка, один из которых добавил поддержку работы в средах FreeBSD. Открытость инструментария означает, что техника извлечения токенов больше не является эксклюзивом одной группы. Такие экосистемы, как PyPI, RubyGems и Maven, оказались под угрозой появления новых вариаций червя, созданных на основе этого кода.

Статическое сканирование артефактов не способно остановить такой тип вмешательства, ведь пакет сохраняет функциональную целостность, а сертификаты являются аутентичными. Эксперты Vectra AI подчеркивают, что истинные индикаторы компрометации имеют поведенческую природу. Сигналом опасности является не сам факт вызова API Sigstore, а появление исходных подключений к неизвестным внешним хостам из рабочей среды, которая параллельно запрашивает OIDC-токен и публикует пакет в рамках одной сессии.

Решение компании Vectra AI помогает выявлять эти паттерны благодаря сквозному мониторингу идентификаторов, сетей и облачной инфраструктуры. Аналитика устанавливает глубокий контекст: что именно делал процесс перед публикацией результата, к каким облачным сервисам обращался и какой нетиповой трафик генерировал. Корреляция этих событий позволяет идентифицировать аномалию еще до того, как отформатированный пакет попадет в корпоративные системы.

Итог:

• Легитимные сертификаты безопасности доказывают исключительно аутентичность допуска компании, но не проверяют намерения процесса, выполняемого в CI/CD.
• Открытый код червя Shai-Hulud многократно увеличил риски компрометации цепочек поставок через эфемерные токены.
• Традиционные средства изолированной проверки неэффективны против латентного перемещения; единственная действенная защита — это создание коррелированного поведенческого контекста.

Компания iIT Distribution как дистрибутор решений Vectra AI предоставляет экспертную экосистему для развертывания передовых систем кибербезопасности. Команда специалистов iITD обеспечивает полное сопровождение и помогает с проектированием комплексной архитектуры защиты, адаптируемой к специфике цепочек поставок и защищающей предприятия от новейших тактик киберзлоумышленников на всех уровнях.