Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλο λογισμικό Shai Hulud v2

Κακόβουλο λογισμικό Shai Hulud v2

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:

Το δεύτερο κύμα της επίθεσης στην αλυσίδα εφοδιασμού Shai-Hulud έχει πλέον εισβάλει στο οικοσύστημα Maven, μετά την παραβίαση πάνω από 830 πακέτων στο μητρώο npm. Οι ερευνητές εντόπισαν ένα πακέτο Maven Central, org.mvnpm:posthog-node:4.18.1, το οποίο περιέχει τα ίδια κακόβουλα στοιχεία με τις προηγούμενες επιθέσεις npm: τον φορτωτή setup_bun.js και το payload bun_environment.js. Προς το παρόν, αυτό είναι το μόνο γνωστό πακέτο Java που επηρεάζεται.

Αξίζει να σημειωθεί ότι το πακέτο Maven δεν δημοσιεύτηκε από την PostHog. Αντίθετα, δημιουργήθηκε μέσω μιας αυτοματοποιημένης διαδικασίας mvnpm που ανακατασκευάζει τα πακέτα npm ως αντικείμενα Maven. Το Maven Central επιβεβαίωσε ότι όλα τα αντίγραφα με κατοπτρισμό είχαν διαγραφεί από τις 25 Νοεμβρίου 2025 και εφαρμόζονται πρόσθετες προστασίες για την αποτροπή της αναδημοσίευσης παραβιασμένων στοιχείων npm.

Παγκόσμιος αντίκτυπος προγραμματιστών και στόχοι επίθεσης

Αυτό το τελευταίο κύμα στοχεύει προγραμματιστές παγκοσμίως, με στόχο την κλοπή ευαίσθητων δεδομένων, όπως:

  • Κλειδιά API
  • Διαπιστευτήρια cloud
  • npm και GitHub tokens

Διευκολύνει επίσης την παραβίαση της αλυσίδας εφοδιασμού σε μεγαλύτερο βάθος με έναν αυτοαναπαραγόμενο τρόπο, που μοιάζει με σκουλήκι. Αυτή η εκδοχή του Shai-Hulud είναι πιο αθόρυβη, επιθετική και καταστροφική από την αρχική παραλλαγή του Σεπτεμβρίου. Παραβιάζοντας τους λογαριασμούς διαχειριστή npm, οι εισβολείς μπορούν να δημοσιεύσουν πακέτα που έχουν μολυνθεί με trojan και τα οποία εισβάλλουν σε μηχανήματα προγραμματιστών και σαρώνουν αυτόματα για μυστικά για να τα εξαγάγουν σε αποθετήρια GitHub.

Πώς λειτουργεί το κακόβουλο λογισμικό: Διπλές ροές εργασίας και τεχνικές μυστικότητας

Η επίθεση αξιοποιεί δύο κακόβουλες ροές εργασίας:

  • Εγγραφή αυτοφιλοξενούμενου δρομέα: Επιτρέπει την εκτέλεση αυθαίρετων εντολών κάθε φορά που ανοίγει μια συζήτηση GitHub.
  • Ροή εργασίας συλλογής μυστικών: Συλλέγει συστηματικά διαπιστευτήρια και τα προωθεί στο GitHub.
  • Οι βασικές βελτιώσεις στο Shai-Hulud v2 περιλαμβάνουν:
  • Χρήση του χρόνου εκτέλεσης Bun για την απόκρυψη της βασικής λογικής
  • Επέκταση του ορίου μόλυνσης από 20 σε 100 συσκευασίες
  • Τυχαιοποιημένα αποθετήρια αποδιήθησης στο GitHub για αποφυγή ανίχνευσης

Μέχρι στιγμής, έχουν επηρεαστεί πάνω από 28.000 αποθετήρια, καταδεικνύοντας την τεράστια κλίμακα και την αδιαφάνεια της εκστρατείας.

Εκμεταλλευόμενες ευπάθειες και μηχανισμοί εφοδιαστικής αλυσίδας

Οι απειλητικοί παράγοντες έχουν εκμεταλλευτεί τις λανθασμένες ρυθμίσεις CI στις ροές εργασίας του GitHub Actions, ιδιαίτερα τα ενεργοποιητικά pull_request_target και workflow_run. Μία μόνο λανθασμένα διαμορφωμένη ροή εργασίας μπορεί να μετατρέψει ένα αποθετήριο σε «ασθενή μηδέν», επιτρέποντας την ταχεία διάδοση κακόβουλου κώδικα.

Η επίθεση στόχευσε έργα που σχετίζονται με τα AsyncAPI, PostHog και Postman, συνεχίζοντας μια ευρύτερη εκστρατεία που ξεκίνησε με την επίθεση S1ngularity τον Αύγουστο του 2025, η οποία επηρέασε πολλά πακέτα Nx στο npm.

Το Fallout: Διαρροή μυστικών και συστημικός κίνδυνος

Η ανάλυση της καμπάνιας δείχνει:

  • Εκατοντάδες διακριτικά πρόσβασης GitHub και διαπιστευτήρια cloud από AWS, Google Cloud και Microsoft Azure εκλάπησαν.
  • Πάνω από 5.000 αρχεία με μυστικά μεταφορτώθηκαν στο GitHub.
  • Από τα 11.858 μοναδικά μυστικά που εντοπίστηκαν σε 4.645 αποθετήρια, τα 2.298 παρέμειναν έγκυρα και είχαν εκτεθεί δημόσια στις 24 Νοεμβρίου 2025.

Αυτό καταδεικνύει πώς ένας μόνο παραβιασμένος συντηρητής μπορεί να προκαλέσει ένα φαινόμενο καταρράκτη, μολύνοντας χιλιάδες εφαρμογές κατάντη.

Συστάσεις για προγραμματιστές

Για τον μετριασμό της έκθεσης, οι προγραμματιστές θα πρέπει:

  • Εναλλαγή όλων των κλειδιών API, των διακριτικών και των διαπιστευτηρίων
  • Έλεγχος και αφαίρεση εξαρτήσεων που έχουν παραβιαστεί
  • Επανεγκατάσταση καθαρών εκδόσεων πακέτων
  • Ενισχύστε τα περιβάλλοντα CI/CD με πρόσβαση με τα λιγότερα δικαιώματα, μυστική σάρωση και αυτοματοποιημένη επιβολή πολιτικών

Ο Shai-Hulud υπογραμμίζει ότι η σύγχρονη αλυσίδα εφοδιασμού λογισμικού παραμένει εξαιρετικά ευάλωτη. Οι εισβολείς συνεχίζουν να εκμεταλλεύονται τα κενά στον τρόπο δημοσίευσης, συσκευασίας και ανάπτυξης του λογισμικού ανοιχτού κώδικα, συχνά χωρίς να βασίζονται σε ευπάθειες zero-day. Η πιο αποτελεσματική άμυνα απαιτεί επανεξέταση του τρόπου με τον οποίο κατασκευάζεται, κοινοποιείται και καταναλώνεται το λογισμικό.

Τάσεις

Απάτη Αίτησης Εξουσιοδότησης Τμήματος Ανθρώπινου...

Phishing, Ανεπιθύμητη αλληλογραφία
Η προσοχή κατά την εξέταση μηνυμάτων που σχετίζονται με την εργασία είναι απαραίτητη, ειδικά καθώς οι κυβερνοεγκληματίες μιμούνται ολοένα και περισσότερο τα στοιχεία ταυτότητας των εσωτερικών τμημάτων για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες. Ένα από τα πιο πρόσφατα παραδείγματα αυτής της τακτικής είναι η απάτη αιτήματος εξουσιοδότησης του τμήματος ανθρώπινου δυναμικού, μια...

Απάτη SafariBookings

Phishing, Ανεπιθύμητη αλληλογραφία
Οι κυβερνοεγκληματίες εκμεταλλεύονται τον ταξιδιωτικό κλάδο με μια καμπάνια ηλεκτρονικού "ψαρέματος" (phishing) γνωστή ως απάτη SafariBookings. Αυτά τα email δεν συνδέονται με καμία νόμιμη εταιρεία, οργανισμό ή πάροχο υπηρεσιών. Έχουν σχεδιαστεί για να εμφανίζονται ως επίσημα μηνύματα από μια υπηρεσία κρατήσεων ταξιδιών, αλλά ο μοναδικός σκοπός τους είναι να εξαπατήσουν τους παραλήπτες ώστε να...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
30,426
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...