មេរោគ Shai Hulud v2
រលកទីពីរនៃការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ Shai-Hulud ឥឡូវនេះបានឆ្លងចូលទៅក្នុងប្រព័ន្ធអេកូ Maven បន្ទាប់ពីការសម្របសម្រួលនៃកញ្ចប់ជាង 830 នៅក្នុងបញ្ជីឈ្មោះ npm ។ អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណកញ្ចប់ Maven Central, org.mvnpm:posthog-node:4.18.1 ដែលមានសមាសធាតុព្យាបាទដូចគ្នានឹងការវាយប្រហារ npm ពីមុនដែរ៖ កម្មវិធីផ្ទុក setup_bun.js និង payload bun_environment.js ។ បច្ចុប្បន្ននេះគឺជាកញ្ចប់ Java ដែលគេស្គាល់តែមួយគត់ដែលរងផលប៉ះពាល់។
គួរកត់សម្គាល់ថាកញ្ចប់ Maven មិនត្រូវបានបោះពុម្ពផ្សាយដោយ PostHog ទេ។ ជំនួសមកវិញ វាត្រូវបានបង្កើតតាមរយៈដំណើរការ mvnpm ស្វ័យប្រវត្តិដែលបង្កើតកញ្ចប់ npm ឡើងវិញជាវត្ថុបុរាណ Maven ។ Maven Central បានបញ្ជាក់ថាច្បាប់ចម្លងដែលឆ្លុះទាំងអស់ត្រូវបានសម្អាតនៅថ្ងៃទី 25 ខែវិច្ឆិកា ឆ្នាំ 2025 ហើយការការពារបន្ថែមកំពុងត្រូវបានអនុវត្តដើម្បីការពារសមាសធាតុ npm ដែលត្រូវបានសម្របសម្រួលពីការបោះពុម្ពឡើងវិញ។
តារាងមាតិកា
ផលប៉ះពាល់ និងគោលដៅវាយប្រហាររបស់អ្នកអភិវឌ្ឍន៍សកល
រលកចុងក្រោយនេះកំណត់គោលដៅអ្នកអភិវឌ្ឍន៍ទូទាំងពិភពលោក ដោយមានបំណងលួចទិន្នន័យរសើបដូចជា៖
- សោ API
- ឯកសារសម្គាល់ពពក
- npm និង GitHub tokens
វាក៏ជួយសម្រួលដល់ការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់កាន់តែស៊ីជម្រៅក្នុងលក្ខណៈដូចដង្កូវ និងចម្លងដោយខ្លួនឯង។ ការនិយាយឡើងវិញនៃ Shai-Hulud នេះគឺកាន់តែលួចលាក់ ឈ្លានពាន និងបំផ្លិចបំផ្លាញជាងវ៉ារ្យ៉ង់ខែកញ្ញាដំបូង។ តាមរយៈការសម្របសម្រួលគណនីអ្នកថែទាំ npm អ្នកវាយប្រហារអាចបោះផ្សាយកញ្ចប់ Trojanized ដែលម៉ាស៊ីនអ្នកអភិវឌ្ឍន៍ backdoor និងស្កែនដោយស្វ័យប្រវត្តិដើម្បីស្វែងរកអាថ៌កំបាំងដើម្បីបញ្ចូនទៅឃ្លាំង GitHub ។
របៀបដែលមេរោគដំណើរការ៖ លំហូរការងារពីរ និងបច្ចេកទេសបំបាំងកាយ
ការវាយប្រហារប្រើប្រាស់លំហូរការងារព្យាបាទពីរ៖
- ការចុះឈ្មោះអ្នករត់ការដែលរៀបចំដោយខ្លួនឯង៖ អនុញ្ញាតឱ្យដំណើរការពាក្យបញ្ជាតាមអំពើចិត្ត នៅពេលដែលការពិភាក្សា GitHub ត្រូវបានបើក។
- លំហូរការងារប្រមូលផលសម្ងាត់៖ ប្រមូលព័ត៌មានសម្ងាត់ជាប្រព័ន្ធ ហើយរុញពួកវាទៅ GitHub ។
- ការកែលម្អសំខាន់ៗនៅក្នុង Shai-Hulud v2 រួមមាន:
- ការប្រើប្រាស់ Bun runtime ដើម្បីលាក់តក្កវិជ្ជាស្នូល
- ការពង្រីកគម្របមេរោគពី 20 ទៅ 100 កញ្ចប់
- ឃ្លាំងផ្ទុកការបណ្ដេញចេញដោយចៃដន្យនៅលើ GitHub ដើម្បីគេចពីការរកឃើញ
រហូតមកដល់ពេលនេះ ឃ្លាំងជាង 28,000 ត្រូវបានរងផលប៉ះពាល់ ដោយបង្ហាញពីទំហំដ៏ច្បាស់លាស់ និងការលួចលាក់នៃយុទ្ធនាការនេះ។
ភាពងាយរងគ្រោះដែលបានកេងប្រវ័ញ្ច និងយន្តការខ្សែសង្វាក់ផ្គត់ផ្គង់
តួអង្គគំរាមកំហែង បានដាក់អក្សរធំលើការកំណត់រចនាសម្ព័ន្ធ CI ខុសនៅក្នុងដំណើរការការងាររបស់ GitHub ពិសេស គន្លឹះទាញ_request_target និង workflow_run។ លំហូរការងារដែលបានកំណត់រចនាសម្ព័ន្ធខុសតែមួយអាចប្រែក្លាយឃ្លាំងមួយទៅជា 'សូន្យអ្នកជំងឺ' ដែលអនុញ្ញាតឱ្យមានការផ្សព្វផ្សាយយ៉ាងឆាប់រហ័សនៃកូដព្យាបាទ។
ការវាយប្រហារបានកំណត់គោលដៅគម្រោងដែលទាក់ទងនឹង AsyncAPI, PostHog និង Postman ដោយបន្តយុទ្ធនាការទូលំទូលាយដែលបានចាប់ផ្តើមជាមួយនឹងការវាយប្រហារ S1ngularity ខែសីហា ឆ្នាំ 2025 ដែលប៉ះពាល់ដល់កញ្ចប់ Nx ជាច្រើននៅលើ npm ។
The Fallout: អាថ៌កំបាំងលេចធ្លាយ និងហានិភ័យជាប្រព័ន្ធ
ការវិភាគនៃយុទ្ធនាការបង្ហាញ៖
- សញ្ញាសម្ងាត់ចូលប្រើ GitHub និង cloud credentials រាប់រយពី AWS, Google Cloud, និង Microsoft Azure ត្រូវបានបណ្តេញចេញ។
- ឯកសារជាង 5,000 ដែលមានអាថ៌កំបាំងត្រូវបានបង្ហោះទៅ GitHub ។
- ក្នុងចំណោមអាថ៌កំបាំងប្លែកៗចំនួន 11,858 ដែលត្រូវបានកំណត់នៅក្នុងឃ្លាំងចំនួន 4,645, 2,298 នៅតែមានសុពលភាព និងត្រូវបានលាតត្រដាងជាសាធារណៈគិតត្រឹមថ្ងៃទី 24 ខែវិច្ឆិកា ឆ្នាំ 2025។
នេះបង្ហាញពីរបៀបដែលអ្នកថែទាំដែលមានការសម្របសម្រួលតែមួយអាចបង្កឱ្យមានឥទ្ធិពលល្បាក់ ដោយប៉ះពាល់ដល់កម្មវិធីខាងក្រោមរាប់ពាន់។
ការណែនាំសម្រាប់អ្នកអភិវឌ្ឍន៍
ដើម្បីកាត់បន្ថយការប៉ះពាល់ អ្នកអភិវឌ្ឍន៍គួរតែ៖
- បង្វិលសោ API និមិត្តសញ្ញា និងព័ត៌មានសម្ងាត់ទាំងអស់។
- សវនកម្ម និងដកចេញនូវភាពអាស្រ័យដែលត្រូវបានសម្របសម្រួល
- ដំឡើងកំណែកញ្ចប់ស្អាតឡើងវិញ
- ពង្រឹងបរិស្ថាន CI/CD ដែលមានសិទ្ធិចូលប្រើតិចតួចបំផុត ការស្កេនសម្ងាត់ និងការអនុវត្តគោលការណ៍ស្វ័យប្រវត្តិ
Shai-Hulud គូសបញ្ជាក់ថា ខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធីទំនើបនៅតែងាយរងគ្រោះខ្លាំង។ អ្នកវាយប្រហារបន្តទាញយកចន្លោះប្រហោងក្នុងរបៀបដែលកម្មវិធីប្រភពបើកចំហត្រូវបានបោះពុម្ព វេចខ្ចប់ និងដាក់ឱ្យប្រើប្រាស់ ជាញឹកញាប់ដោយមិនពឹងផ្អែកលើភាពងាយរងគ្រោះសូន្យថ្ងៃ។ ការការពារដ៏មានប្រសិទ្ធភាពបំផុតទាមទារឱ្យគិតឡើងវិញពីរបៀបដែលកម្មវិធីត្រូវបានបង្កើតឡើង ចែករំលែក និងប្រើប្រាស់។
