Shai Hulud v2 -haittaohjelma
Shai-Hulud-toimitusketjuhyökkäyksen toinen aalto on nyt siirtynyt Maven-ekosysteemiin yli 830 npm-rekisteripaketin vaarannuttua. Tutkijat tunnistivat Maven Central -paketin, org.mvnpm:posthog-node:4.18.1, joka sisältää samat haitalliset komponentit kuin aiemmat npm-hyökkäykset: loader setup_bun.js ja payload bun_environment.js. Tällä hetkellä tämä on ainoa tunnettu Java-paketti, johon hyökkäys vaikuttaa.
Merkillepantavaa on, että Maven-pakettia ei julkaissut PostHog. Sen sijaan se luotiin automatisoidulla mvnpm-prosessilla, joka rakentaa npm-paketit uudelleen Maven-artefakteiksi. Maven Central on vahvistanut, että kaikki peilatut kopiot on poistettu 25. marraskuuta 2025, ja lisäsuojauksia otetaan käyttöön vaarantuneiden npm-komponenttien uudelleenjulkaisemisen estämiseksi.
Sisällysluettelo
Globaalit kehittäjien vaikutus- ja hyökkäystavoitteet
Tämä uusin aalto kohdistuu kehittäjiin maailmanlaajuisesti ja pyrkii varastamaan arkaluonteisia tietoja, kuten:
- API-avaimet
- Pilvitunnistetiedot
- npm- ja GitHub-tokenit
Se myös mahdollistaa syvemmän toimitusketjun vaarantamisen matomaisella, itseään replikoivalla tavalla. Tämä Shai-Hulud-versio on huomaavaisempi, aggressiivisempi ja tuhoisampi kuin alkuperäinen syyskuun variantti. Vapauttamalla npm:n ylläpitäjien tilit hyökkääjät voivat julkaista troijalaisia paketteja, jotka kulkevat kehittäjien koneiden takaoven kautta ja skannaavat automaattisesti salaisuuksia GitHub-arkistoihin soluttautumiseksi.
Haittaohjelman toimintaperiaate: kaksoistyönkulut ja piilotekniikat
Hyökkäys hyödyntää kahta haitallista työnkulkua:
- Itse isännöidyn juoksijan rekisteröinti: Sallii mielivaltaisen komentojen suorittamisen aina, kun GitHub-keskustelu avataan.
- Salaisuuksien keräämisen työnkulku: Kerää systemaattisesti tunnistetiedot ja lähettää ne GitHubiin.
- Shai-Hulud v2:n tärkeimpiä parannuksia ovat:
- Bun-ajonaikaisen ympäristön käyttö ydinlogiikan piilottamiseen
- Tartuntakaton laajentaminen 20 paketista 100 pakettiin
- Satunnaistettuja tiedonsiirtoarkistoja GitHubissa havaitsemisen välttämiseksi
Tähän mennessä yli 28 000 arkistoa on kärsinyt, mikä osoittaa kampanjan valtavan laajuuden ja salamyhkäisyyden.
Hyödynnetyt haavoittuvuudet ja toimitusketjun mekaniikka
Uhkatoimijat ovat hyödyntäneet GitHub Actions -työnkulkujen CI-virheellisiä konfiguraatioita, erityisesti pull_request_target- ja workflow_run-liipaisimia. Yksikin väärin määritetty työnkulku voi muuttaa tietovaraston "potilas nollaksi", mikä mahdollistaa haitallisen koodin nopean leviämisen.
Hyökkäys on kohdistunut AsyncAPIin, PostHogiin ja Postmaniin liittyviin projekteihin ja jatkanut laajempaa kampanjaa, joka alkoi elokuussa 2025 tehdyllä S1ngularity-hyökkäyksellä, joka vaikutti useisiin npm:n Nx-paketteihin.
The Fallout: Vuodetut salaisuudet ja systeeminen riski
Kampanjan analyysi osoittaa:
- Satoja GitHub-käyttöoikeustunnuksia ja pilvitunnistetietoja AWS:stä, Google Cloudista ja Microsoft Azuresta vuoti tietokantaan.
- GitHubiin ladattiin yli 5 000 salaisuuksia sisältävää tiedostoa.
- 4 645 arkistossa tunnistetuista 11 858 ainutlaatuisesta salaisuudesta 2 298 oli edelleen voimassa ja julkisesti saatavilla 24. marraskuuta 2025 mennessä.
Tämä osoittaa, kuinka yksi ainoa vaarantunut ylläpitäjä voi laukaista ketjureaktion ja tartuttaa tuhansia muita sovelluksia.
Suosituksia kehittäjille
Altistumisen lieventämiseksi kehittäjien tulisi:
- Kierrätä kaikki API-avaimet, tokenit ja tunnistetiedot
- Tarkista ja poista vaarantuneet riippuvuudet
- Asenna puhtaat pakettiversiot uudelleen
- Vahvista CI/CD-ympäristöjä vähiten sallittujen käyttöoikeuksien, salaisen skannauksen ja automatisoidun käytäntöjen valvonnan avulla
Shai-Hulud korostaa, että nykyaikainen ohjelmistojen toimitusketju on edelleen erittäin haavoittuvainen. Hyökkääjät hyödyntävät edelleen avoimen lähdekoodin ohjelmistojen julkaisu-, pakkaus- ja käyttöönottomenetelmien aukkoja, usein turvautumatta nollapäivähaavoittuvuuksiin. Tehokkain puolustus edellyttää ohjelmistojen rakentamisen, jakamisen ja kuluttamisen uudelleenarviointia.
