תוכנה זדונית של שי חולוד גרסה 2

הגל השני של מתקפת שרשרת האספקה של שי-חולוד חדר כעת למערכת האקולוגית של מייבן, לאחר פגיעה של למעלה מ-830 חבילות ברישום ה-npm. חוקרים זיהו חבילה מרכזית של מייבן, org.mvnpm:posthog-node:4.18.1, המכילה את אותם רכיבים זדוניים כמו מתקפות ה-npm הקודמות: ה-loader setup_bun.js וה-payload bun_environment.js. נכון לעכשיו, זוהי חבילת הג'אווה היחידה הידועה שנפגעה.

ראוי לציין כי חבילת Maven לא פורסמה על ידי PostHog. במקום זאת, היא נוצרה באמצעות תהליך mvnpm אוטומטי שבונה מחדש חבילות npm כארכיטקטים של Maven. Maven Central אישרה כי כל העותקים המשוקפים נוקו החל מ-25 בנובמבר 2025, והגנות נוספות מיושמות כדי למנוע פרסום מחדש של רכיבי npm שנפגעו.

השפעה גלובלית של מפתחים ומטרות התקפה

הגל האחרון מכוון למפתחים ברחבי העולם, במטרה לגנוב מידע רגיש כגון:

• מפתחות API
• אישורי ענן
• אסימוני npm ו-GitHub

זה גם מאפשר פגיעה עמוקה יותר בשרשרת האספקה בצורה דמוית תולעת, המשכפלת את עצמה. גרסה זו של שי-חולוד היא יותר חשאית, אגרסיבית והרסנית מהגרסה הראשונית של ספטמבר. על ידי פגיעה בחשבונות מתחזקי npm, תוקפים יכולים לפרסם חבילות טרויאניות שחודרות אחורה למכונות מפתחים וסורקות אוטומטית אחר סודות כדי לחמוק למאגרי GitHub.

כיצד פועלת התוכנה הזדונית: זרימות עבודה כפולות וטכניקות התגנבות

ההתקפה ממנפת שתי זרימות עבודה זדוניות:

• רישום רץ באחסון עצמי: מאפשר ביצוע פקודות שרירותי בכל פעם שנפתח דיון ב-GitHub.
• תהליך עבודה של איסוף סודות: אוסף באופן שיטתי אישורים ודוחף אותם ל-GitHub.
• שיפורים מרכזיים בגרסה 2 של שי-חולוד כוללים:
• שימוש בזמן הריצה של Bun כדי להסתיר את לוגיקת הליבה
• הרחבת מגבלת ההדבקה מ-20 ל-100 חבילות
• מאגרי חילוץ אקראיים ב-GitHub כדי להתחמק מגילוי

עד כה, מעל 28,000 מאגרים הושפעו, דבר המדגים את היקף הקמפיין ואת הסוד שלו.

פגיעויות מנוצלות ומכניקת שרשרת האספקה

גורמי איום ניצלו תצורות שגויות של CI בזרימות עבודה של GitHub Actions, במיוחד את הטריגרים pull_request_target ו-workflow_run. זרימת עבודה אחת שתצורתה שגויה יכולה להפוך מאגר ל-'מטופל אפס', מה שמאפשר התפשטות מהירה של קוד זדוני.

המתקפה התמקדה בפרויקטים הקשורים ל-AsyncAPI, PostHog ו-Postman, בהמשך למתקפת S1ngularity באוגוסט 2025, שפגעה במספר חבילות Nx ב-npm.

הנשורת: סודות שנחשפו וסיכון מערכתי

ניתוח הקמפיין מראה:

• מאות אסימוני גישה של GitHub ופרטי גישה לענן מ-AWS, Google Cloud ו-Microsoft Azure נגנבו.
• מעל 5,000 קבצים עם סודות הועלו ל-GitHub.
• מתוך 11,858 סודות ייחודיים שזוהו ב-4,645 מאגרים, 2,298 נותרו בתוקף ונחשפו לציבור נכון ל-24 בנובמבר 2025.

זה מדגים כיצד מתחזק יחיד שנפגע יכול לעורר אפקט מפל, ולהדביק אלפי יישומים במורד הזרם.

המלצות למפתחים

כדי להפחית את החשיפה, על המפתחים:

• סובב את כל מפתחות ה-API, האסימונים והאישורים
• ביקורת והסרה של תלויות שנפגעו
• התקן מחדש גרסאות חבילה נקיות
• הקשחת סביבות CI/CD עם גישה בעלת הרשאות מועטות, סריקה סודית ואכיפת מדיניות אוטומטית

שי-חולוד מדגישה כי שרשרת האספקה של תוכנה מודרנית נותרה פגיעה ביותר. תוקפים ממשיכים לנצל פערים באופן שבו תוכנות קוד פתוח מפורסמות, נארזות ופרוסות, לעתים קרובות מבלי להסתמך על פגיעויות של יום אפס. ההגנה היעילה ביותר דורשת חשיבה מחודשת על האופן שבו תוכנה נבנית, משותפת ונצרכת.