Shai Hulud v2 pahavara
Shai-Huludi tarneahela rünnaku teine laine on nüüd jõudnud Maveni ökosüsteemi, pärast seda, kui npm-i registris oli enam kui 830 paketti ohustatud. Teadlased tuvastasid Maven Centrali paketi org.mvnpm:posthog-node:4.18.1, mis sisaldab samu pahatahtlikke komponente kui varasemad npm-rünnakud: laadur setup_bun.js ja kasulik koormus bun_environment.js. Praegu on see ainus teadaolev mõjutatud Java pakett.
Tähelepanuväärne on see, et Maveni paketti ei avaldanud PostHog. Selle asemel genereeriti see automaatse mvnpm protsessi abil, mis ehitab npm-paketid uuesti Maveni artefaktidena. Maven Central on kinnitanud, et kõik peegeldatud koopiad kustutati 25. novembri 2025 seisuga ning rakendatakse täiendavaid kaitsemeetmeid, et vältida ohustatud npm-komponentide uuesti avaldamist.
Sisukord
Globaalse arendaja mõju ja rünnaku eesmärgid
See viimane laine on suunatud arendajatele kogu maailmas, eesmärgiga varastada tundlikke andmeid, näiteks:
- API-võtmed
- Pilve volikirjad
- npm ja GitHubi märgid
See hõlbustab ka sügavamat tarneahela ohtu seadmist ussilaadsel ja ennastreplitseerival viisil. See Shai-Huludi iteratsioon on salakavalam, agressiivsem ja hävitavam kui esialgne septembrikuine variant. Npm-i hooldajate kontosid rikkudes saavad ründajad avaldada troojalastega nakatunud pakette, mis avavad arendajate masinad tagaukse kaudu ja skannivad automaatselt saladusi, et neid GitHubi hoidlatesse filtreerida.
Kuidas pahavara töötab: kahesugused töövood ja varjatud tehnikad
Rünnak kasutab kahte pahatahtlikku töövoogu:
- Ise hostitud jooksja registreerimine: lubab suvalise käsu käivitamist iga kord, kui GitHubi arutelu avatakse.
- Saladuste kogumise töövoog: kogub süstemaatiliselt volitusi ja edastab need GitHubisse.
- Shai-Hulud v2 peamised täiustused on järgmised:
- Buni käituskeskkonna kasutamine põhiloogika varjamiseks
- Nakkuspiirangu laiendamine 20-lt 100 pakendile
- GitHubi randomiseeritud väljafiltreerimise repositooriumid tuvastamise vältimiseks
Siiani on mõjutatud üle 28 000 repositooriumi, mis näitab kampaania ulatust ja salajasust.
Ärakasutatud haavatavused ja tarneahela mehaanika
Ohutegurid on ära kasutanud GitHub Actionsi töövoogude CI valekonfiguratsioone, eriti pull_request_target ja workflow_run päästikuid. Üks valesti konfigureeritud töövoog võib muuta repositooriumi „nullpatsiendiks“, võimaldades pahatahtliku koodi kiiret levikut.
Rünnak on suunatud AsyncAPI, PostHogi ja Postmaniga seotud projektide vastu, jätkates laiemat kampaaniat, mis algas 2025. aasta augustis S1ngularity rünnakuga, mis mõjutas mitmeid npm-i Nx-pakette.
The Fallout: lekkinud saladused ja süsteemne risk
Kampaania analüüs näitab:
- Sadu GitHubi juurdepääsutokeneid ja pilveteenuse mandaate AWS-ist, Google Cloudist ja Microsoft Azure'ist varastati.
- GitHubisse laaditi üles üle 5000 salakoodidega faili.
- 24. novembri 2025. aasta seisuga kehtis ja avalikult avaldati 4645 hoidlas tuvastatud 11 858 unikaalsest saladusest 2298.
See näitab, kuidas üksainus ohustatud hooldaja võib käivitada kaskaadefekti, nakatades tuhandeid allavoolu rakendusi.
Soovitused arendajatele
Kokkupuute leevendamiseks peaksid arendajad:
- Vaheta kõiki API-võtmeid, märke ja volitusi
- Auditeeri ja eemalda ohustatud sõltuvused
- Installige puhtad paketiversioonid uuesti
- Tugevdage CI/CD keskkondi vähimõigustega juurdepääsu, salajase skaneerimise ja automatiseeritud poliitika jõustamise abil
Shai-Hulud rõhutab, et tänapäevane tarkvara tarneahel on endiselt väga haavatav. Ründajad kasutavad jätkuvalt ära lünki avatud lähtekoodiga tarkvara avaldamises, pakendamises ja juurutamises, sageli ilma nullpäeva haavatavustele toetumata. Kõige tõhusam kaitse eeldab tarkvara loomise, jagamise ja tarbimise ümbermõtestamist.
