Zlonamjerni softver Shai Hulud v2
Drugi val napada na lanac opskrbe Shai-Hulud sada je prešao u Maven ekosustav, nakon što je kompromitirano preko 830 paketa u npm registru. Istraživači su identificirali Maven Central paket, org.mvnpm:posthog-node:4.18.1, koji sadrži iste zlonamjerne komponente kao i raniji npm napadi: program za učitavanje setup_bun.js i korisni teret bun_environment.js. Trenutno je ovo jedini poznati Java paket koji je pogođen.
Važno je napomenuti da Maven paket nije objavio PostHog. Umjesto toga, generiran je putem automatiziranog mvnpm procesa koji obnavlja npm pakete kao Maven artefakte. Maven Central je potvrdio da su sve zrcalne kopije očišćene od 25. studenog 2025. te da se implementiraju dodatne zaštite kako bi se spriječilo ponovno objavljivanje kompromitiranih npm komponenti.
Sadržaj
Globalni utjecaj na razvojne programere i ciljevi napada
Ovaj najnoviji val cilja programere diljem svijeta, s ciljem krađe osjetljivih podataka kao što su:
- API ključevi
- Vjerodajnice za oblak
- npm i GitHub tokeni
Također olakšava dublje kompromitiranje opskrbnog lanca na način sličan crvu, koji se sam replicira. Ova iteracija Shai-Huludara je prikrivenija, agresivnija i destruktivnija od početne rujanske varijante. Kompromitiranjem računa održavatelja npm-a, napadači mogu objaviti trojanske pakete koji provaljuju u računala programera i automatski skeniraju tajne kako bi ih protumačili u GitHub repozitorije.
Kako zlonamjerni softver djeluje: Dvostruki tijekovi rada i tehnike prikrivanja
Napad koristi dva zlonamjerna tijeka rada:
- Registracija samostalno hostiranog trkača: Omogućuje izvršavanje proizvoljnih naredbi svaki put kada se otvori GitHub rasprava.
- Tijek rada za prikupljanje tajni: Sustavno prikuplja vjerodajnice i šalje ih na GitHub.
- Ključna poboljšanja u Shai-Huludu v2 uključuju:
- Korištenje Bun runtime okruženja za prikrivanje osnovne logike
- Proširenje limita zaraze s 20 na 100 paketa
- Randomizirani repozitoriji za eksfiltraciju na GitHubu kako bi se izbjeglo otkrivanje
Do sada je pogođeno preko 28 000 repozitorija, što pokazuje golem opseg i prikrivenost kampanje.
Iskorištene ranjivosti i mehanika lanca opskrbe
Akteri prijetnji iskoristili su pogrešne konfiguracije CI-ja u tijekovima rada GitHub Actions, posebno okidače pull_request_target i workflow_run. Jedan pogrešno konfiguriran tijek rada može pretvoriti repozitorij u 'nultog pacijenta', omogućujući brzo širenje zlonamjernog koda.
Napad je ciljao projekte povezane s AsyncAPI-jem, PostHogom i Postmanom, nastavljajući širu kampanju koja je započela napadom S1ngularity u kolovozu 2025., koji je utjecao na nekoliko Nx paketa na npm-u.
Posljedice: Procurele tajne i sistemski rizik
Analiza kampanje pokazuje:
- Ukradene su stotine tokena za pristup GitHubu i cloud vjerodajnica iz AWS-a, Google Clouda i Microsoft Azurea.
- Preko 5000 datoteka sa tajnim podacima preneseno je na GitHub.
- Od 11.858 jedinstvenih tajni identificiranih u 4.645 repozitorija, 2.298 je ostalo važeće i javno izloženo od 24. studenog 2025.
Ovo pokazuje kako jedan kompromitirani održavatelj može izazvati kaskadni efekt, zaražavajući tisuće nizvodnih aplikacija.
Preporuke za razvojne programere
Kako bi ublažili izloženost, programeri bi trebali:
- Rotirajte sve API ključeve, tokene i vjerodajnice
- Revizija i uklanjanje kompromitiranih ovisnosti
- Ponovno instalirajte čiste verzije paketa
- Ojačajte CI/CD okruženja s pristupom s najmanjim privilegijama, tajnim skeniranjem i automatiziranim provođenjem pravila
Shai-Hulud naglašava da je moderni lanac opskrbe softverom i dalje vrlo ranjiv. Napadači nastavljaju iskorištavati nedostatke u načinu na koji se softver otvorenog koda objavljuje, pakira i implementira, često bez oslanjanja na zero-day ranjivosti. Najučinkovitija obrana zahtijeva preispitivanje načina na koji se softver gradi, dijeli i konzumira.
