Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Shai Hulud v2 kártevő

Shai Hulud v2 kártevő

Mezo -ra Malware-ben
Fordítás ide:

A Shai-Hulud ellátási lánc támadás második hulláma most elérte a Maven ökoszisztémát, miután több mint 830 csomagot fertőztek meg az npm rendszerleíró adatbázisban. A kutatók azonosítottak egy Maven Central csomagot, az org.mvnpm:posthog-node:4.18.1-et, amely ugyanazokat a rosszindulatú komponenseket tartalmazza, mint a korábbi npm támadások: a loader setup_bun.js és a payload bun_environment.js. Jelenleg ez az egyetlen ismert érintett Java csomag.

Figyelemre méltó, hogy a Maven csomagot nem a PostHog tette közzé. Ehelyett egy automatizált mvnpm folyamat generálta, amely az npm csomagokat Maven-termékekként építi újra. A Maven Central megerősítette, hogy az összes tükrözött másolatot 2025. november 25-én törölték, és további védelmeket vezettek be a veszélyeztetett npm-komponensek újbóli közzétételének megakadályozására.

Globális fejlesztői hatás- és támadási célok

Ez a legújabb hullám világszerte célozza meg a fejlesztőket, azzal a céllal, hogy olyan érzékeny adatokat lopjon el, mint:

  • API-kulcsok
  • Felhőalapú hitelesítő adatok
  • npm és GitHub tokenek

Emellett féregszerű, önmagát replikáló módon teszi lehetővé az ellátási lánc mélyebb feltörését. A Shai-Hulud ezen változata sokkal lopakodóbb, agresszívabb és rombolóbb, mint a kezdeti szeptemberi változat. Az npm karbantartói fiókok feltörésével a támadók trójai vírussal fertőzött csomagokat tehetnek közzé, amelyek hátsó ajtót nyitnak a fejlesztői gépekhez, és automatikusan titkos kódokat keresnek a GitHub tárházakba való kiszivárgásukhoz.

A kártevő működése: kettős munkafolyamatok és lopakodó technikák

A támadás két rosszindulatú munkafolyamatot használ ki:

  • Saját üzemeltetésű futóregisztráció: Lehetővé teszi tetszőleges parancsfuttatást, valahányszor egy GitHub-vitafórum megnyílik.
  • Titkok gyűjtésének munkafolyamata: Szisztematikusan gyűjti a hitelesítő adatokat, és elküldi azokat a GitHubnak.
  • A Shai-Hulud v2 legfontosabb fejlesztései a következők:
  • A Bun futási környezet használata az alapvető logika elrejtésére
  • A fertőzési limit 20-ról 100 csomagra való kiterjesztése
  • Véletlenszerűsített exfiltráció-tárházak a GitHub-on az észlelés elkerülése érdekében

Eddig több mint 28 000 adattárat érintett a támadás, ami jól mutatja a kampány nagyságrendjét és lopakodását.

Kihasznált sebezhetőségek és az ellátási lánc mechanizmusai

A fenyegetések elkövetői kihasználták a GitHub Actions munkafolyamataiban található CI-hibákat, különösen a pull_request_target és workflow_run triggereket. Egyetlen rosszul konfigurált munkafolyamat is képes egy adattárat „nulladik pácienssé” alakítani, lehetővé téve a rosszindulatú kód gyors terjedését.

A támadás az AsyncAPI-hoz, a PostHoghoz és a Postmanhez kapcsolódó projekteket vette célba, folytatva a 2025 augusztusában indított S1ngularity támadással kezdődött szélesebb körű kampányt, amely számos Nx csomagot érintett az npm-en.

A Fallout: Kiszivárgott titkok és a rendszerszintű kockázat

A kampány elemzése a következőket mutatja:

  • Több száz GitHub hozzáférési tokent és felhőalapú hitelesítő adatot szivárogtattak ki az AWS-ből, a Google Cloudból és a Microsoft Azure-ból.
  • Több mint 5000 titkos kódot tartalmazó fájlt töltöttek fel a GitHubra.
  • A 4645 adattárban azonosított 11 858 egyedi titok közül 2298 továbbra is érvényes és nyilvánosan hozzáférhető volt 2025. november 24-én.

Ez azt szemlélteti, hogy egyetlen feltört karbantartó hogyan indíthat el egy kaszkádhatást, amely több ezer downstream alkalmazást fertőzhet meg.

Ajánlások fejlesztőknek

A kitettség csökkentése érdekében a fejlesztőknek a következőket kell tenniük:

  • Az összes API-kulcs, token és hitelesítő adat rotálása
  • Feltört függőségek auditálása és eltávolítása
  • Telepítse újra a tiszta csomagverziókat
  • A CI/CD környezetek védelme minimális jogosultságú hozzáféréssel, titkos szkenneléssel és automatizált szabályzat-érvényesítéssel érhető el.

Shai-Hulud hangsúlyozza, hogy a modern szoftverellátási lánc továbbra is rendkívül sebezhető. A támadók továbbra is kihasználják a nyílt forráskódú szoftverek közzétételének, csomagolásának és telepítésének módjában rejlő réseket, gyakran anélkül, hogy a nulladik napi sebezhetőségekre támaszkodnának. A leghatékonyabb védekezéshez újra kell gondolni a szoftverek fejlesztésének, megosztásának és felhasználásának módját.

Felkapott

HR osztály engedélyezési kérelmével kapcsolatos átverés

Adathalászat, Spam
A munkahelyi üzenetek áttekintésekor elengedhetetlen az óvatosság, különösen mivel a kiberbűnözők egyre gyakrabban a belső osztályok titkait adják ki, hogy bizalmas információkhoz jussanak. Ennek a taktikának az egyik legújabb példája a HR Osztály Authorization Request Scam nevű adathalász művelet, amelynek célja a fiókadatok ellopása és a vállalati rendszerek feltörése. Egy megtévesztő üzenet,...

Legnézettebb

Betöltés...