Shai Hulud v2 मैलवेयर

शाई-हुलुद सप्लाई चेन हमले की दूसरी लहर अब मावेन इकोसिस्टम तक पहुँच गई है, जिसके बाद एनपीएम रजिस्ट्री में 830 से ज़्यादा पैकेज लीक हो गए हैं। शोधकर्ताओं ने एक मावेन सेंट्रल पैकेज, org.mvnpm:posthog-node:4.18.1, की पहचान की है, जिसमें पहले के एनपीएम हमलों जैसे ही दुर्भावनापूर्ण घटक हैं: लोडर setup_bun.js और पेलोड bun_environment.js। फ़िलहाल, यही एकमात्र ज्ञात जावा पैकेज है जो प्रभावित हुआ है।

उल्लेखनीय रूप से, Maven पैकेज PostHog द्वारा प्रकाशित नहीं किया गया था। इसके बजाय, इसे एक स्वचालित mvnpm प्रक्रिया के माध्यम से तैयार किया गया था जो npm पैकेजों को Maven आर्टिफैक्ट्स के रूप में पुनः निर्मित करती है। Maven Central ने पुष्टि की है कि 25 नवंबर, 2025 तक सभी मिरर की गई प्रतियों को हटा दिया गया था, और समझौता किए गए npm घटकों को पुनः प्रकाशित होने से रोकने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा रहे हैं।

वैश्विक डेवलपर प्रभाव और हमले के लक्ष्य

यह नवीनतम लहर दुनिया भर के डेवलपर्स को निशाना बनाती है, जिसका उद्देश्य संवेदनशील डेटा चुराना है, जैसे:

• API कुंजियाँ
• क्लाउड क्रेडेंशियल्स
• एनपीएम और गिटहब टोकन

यह आपूर्ति श्रृंखला में गहरी घुसपैठ को भी एक वर्म की तरह, स्व-प्रतिकृति तरीके से सुगम बनाता है। शाई-हुलुद का यह संस्करण सितंबर के शुरुआती संस्करण की तुलना में अधिक गुप्त, आक्रामक और विनाशकारी है। एनपीएम मेंटेनर खातों से छेड़छाड़ करके, हमलावर ट्रोजन पैकेज प्रकाशित कर सकते हैं जो डेवलपर मशीनों को बैकडोर करते हैं और स्वचालित रूप से गुप्त जानकारी को स्कैन करके GitHub रिपॉजिटरी में भेज देते हैं।

मैलवेयर कैसे काम करता है: दोहरे वर्कफ़्लो और गुप्त तकनीकें

यह हमला दो दुर्भावनापूर्ण कार्यप्रवाहों का लाभ उठाता है:

• स्व-होस्टेड रनर पंजीकरण: जब भी GitHub चर्चा खोली जाती है, तो मनमाने आदेश निष्पादन की अनुमति देता है।
• सीक्रेट हार्वेस्टिंग कार्यप्रवाह: व्यवस्थित रूप से क्रेडेंशियल्स एकत्रित करता है और उन्हें GitHub पर भेजता है।
• शाई-हुलुद v2 में प्रमुख संवर्द्धन शामिल हैं:
• मुख्य तर्क को छिपाने के लिए बन रनटाइम का उपयोग
• संक्रमण सीमा को 20 से बढ़ाकर 100 पैकेज किया गया
• पता लगाने से बचने के लिए GitHub पर यादृच्छिक एक्सफ़िल्टरेशन रिपॉज़िटरीज़

अब तक 28,000 से अधिक रिपॉजिटरी प्रभावित हो चुकी हैं, जो इस अभियान के विशाल पैमाने और गुप्तता को दर्शाता है।

शोषित कमजोरियाँ और आपूर्ति श्रृंखला यांत्रिकी

ख़तरा पैदा करने वाले तत्वों ने GitHub Actions वर्कफ़्लोज़ में CI के गलत कॉन्फ़िगरेशन का फ़ायदा उठाया है, ख़ास तौर पर pull_request_target और workflow_run ट्रिगर्स का। एक भी गलत कॉन्फ़िगरेशन वाला वर्कफ़्लो किसी रिपॉज़िटरी को 'पेशेंट ज़ीरो' में बदल सकता है, जिससे दुर्भावनापूर्ण कोड का तेज़ी से प्रसार हो सकता है।

इस हमले ने AsyncAPI, PostHog और Postman से जुड़ी परियोजनाओं को निशाना बनाया है, जो अगस्त 2025 S1ngularity हमले के साथ शुरू हुए व्यापक अभियान को जारी रखता है, जिसने npm पर कई Nx पैकेजों को प्रभावित किया था।

नतीजा: लीक हुए राज़ और प्रणालीगत जोखिम

अभियान के विश्लेषण से पता चलता है:

• AWS, गूगल क्लाउड और माइक्रोसॉफ्ट एज़्योर से सैकड़ों GitHub एक्सेस टोकन और क्लाउड क्रेडेंशियल्स चुरा लिए गए।
• 5,000 से अधिक गोपनीय फाइलें GitHub पर अपलोड की गईं।
• 4,645 रिपोजिटरी में पहचाने गए 11,858 अद्वितीय रहस्यों में से 2,298 वैध रहे तथा 24 नवंबर 2025 तक सार्वजनिक रूप से उजागर कर दिए गए।

यह दर्शाता है कि किस प्रकार एक समझौता किया गया अनुरक्षक, हजारों डाउनस्ट्रीम अनुप्रयोगों को संक्रमित करते हुए, कैस्केड प्रभाव को सक्रिय कर सकता है।

डेवलपर्स के लिए सिफारिशें

जोखिम को कम करने के लिए, डेवलपर्स को चाहिए:

• सभी API कुंजियाँ, टोकन और क्रेडेंशियल घुमाएँ
• समझौता किए गए निर्भरताओं का ऑडिट करें और उन्हें हटाएँ
• स्वच्छ पैकेज संस्करण पुनः स्थापित करें
• न्यूनतम विशेषाधिकार पहुँच, गुप्त स्कैनिंग और स्वचालित नीति प्रवर्तन के साथ CI/CD परिवेशों को सुदृढ़ बनाना

शाई-हुलुद इस बात पर ज़ोर देते हैं कि आधुनिक सॉफ़्टवेयर आपूर्ति श्रृंखला बेहद असुरक्षित बनी हुई है। हमलावर ओपन-सोर्स सॉफ़्टवेयर के प्रकाशन, पैकेजिंग और तैनाती के तरीकों में मौजूद खामियों का फ़ायदा उठाते रहते हैं, अक्सर बिना ज़ीरो-डे कमज़ोरियों का सहारा लिए। सबसे प्रभावी बचाव के लिए सॉफ़्टवेयर के निर्माण, साझाकरण और उपयोग के तरीक़े पर पुनर्विचार करना होगा।