Shai Hulud v2 kenkėjiška programa
Antroji „Shai-Hulud“ tiekimo grandinės atakos banga pasiekė „Maven“ ekosistemą, kai buvo pažeista daugiau nei 830 paketų „npm“ registre. Tyrėjai nustatė „Maven Central“ paketą „org.mvnpm:posthog-node:4.18.1“, kuriame yra tie patys kenkėjiški komponentai kaip ir ankstesnėse „npm“ atakose: „loader setup_bun.js“ ir „payload bun_environment.js“. Šiuo metu tai vienintelis žinomas paveiktas „Java“ paketas.
Pažymėtina, kad „Maven“ paketą publikavo ne „PostHog“. Jis buvo sugeneruotas naudojant automatizuotą „mvnpm“ procesą, kuris atkuria „npm“ paketus kaip „Maven“ artefaktus. „Maven Central“ patvirtino, kad visos veidrodinės kopijos buvo išvalytos nuo 2025 m. lapkričio 25 d., ir diegiamos papildomos apsaugos priemonės, siekiant užkirsti kelią pažeistų „npm“ komponentų pakartotiniam publikavimui.
Turinys
Pasauliniai kūrėjų poveikio ir atakų tikslai
Ši naujausia banga skirta kūrėjams visame pasaulyje, siekiant pavogti slaptus duomenis, tokius kaip:
- API raktai
- Debesijos prisijungimo duomenys
- npm ir GitHub žetonai
Tai taip pat palengvina gilesnį tiekimo grandinės užkrėtimą kirmino tipo, save replikuojančiu būdu. Ši „Shai-Hulud“ iteracija yra slaptesnė, agresyvesnė ir destruktyvesnė nei pradinė rugsėjo mėnesio versija. Kompromituodami „npm“ palaikytojų paskyras, užpuolikai gali publikuoti trojanų užkrėstus paketus, kurie patenka į kūrėjų kompiuterius ir automatiškai nuskaito paslaptis, kad jas būtų galima išgauti į „GitHub“ saugyklas.
Kaip veikia kenkėjiška programa: dvigubi darbo srautai ir slapti metodai
Ataka pasitelkia du kenkėjiškus darbo eigą:
- Nuolat talpinama bėgiko registracija: Leidžia savavališkai vykdyti komandas, kai atidaroma „GitHub“ diskusija.
- Paslapčių rinkimo darbo eiga: sistemingai renka prisijungimo duomenis ir perduoda juos į „GitHub“.
- Svarbiausi „Shai-Hulud v2“ patobulinimai:
- Bun vykdymo laiko naudojimas pagrindinei logikai paslėpti
- Užkrėtimo ribos padidinimas nuo 20 iki 100 pakuočių
- Atsitiktinės eksfiltracijos saugyklos „GitHub“ platformoje, siekiant išvengti aptikimo
Iki šiol paveikta daugiau nei 28 000 saugyklų, o tai rodo didžiulį kampanijos mastą ir slaptumą.
Išnaudoti pažeidžiamumai ir tiekimo grandinės mechanika
Grėsmių kūrėjai pasinaudojo klaidingomis CI konfigūracijomis „GitHub Actions“ darbo eigose, ypač „pull_request_target“ ir „workflow_run“ paleidikliuose. Viena neteisingai sukonfigūruota darbo eiga gali paversti saugyklą „nuliniu pacientu“, sudarydama sąlygas greitam kenkėjiško kodo plitimui.
Ataka buvo nukreipta prieš su „AsyncAPI“, „PostHog“ ir „Postman“ susijusius projektus, tęsiant platesnę kampaniją, prasidėjusią 2025 m. rugpjūčio mėn. „S1ngularity“ ataka, kuri paveikė kelis „Nx“ paketus „npm“.
„The Fallout“: nutekintos paslaptys ir sisteminė rizika
Kampanijos analizė rodo:
- Buvo pavogta šimtai „GitHub“ prieigos žetonų ir debesies kredencialų iš AWS, „Google Cloud“ ir „Microsoft Azure“.
- Į „GitHub“ buvo įkelta daugiau nei 5000 failų su slaptais kodais.
- Iš 11 858 unikalių paslapčių, nustatytų 4 645 saugyklose, 2 298 išliko galiojančios ir viešai paviešintos 2025 m. lapkričio 24 d.
Tai parodo, kaip vienas pažeistas prižiūrėtojas gali sukelti kaskadinį efektą, užkrėsdamas tūkstančius tolesnių programų.
Rekomendacijos kūrėjams
Siekdami sumažinti poveikį, kūrėjai turėtų:
- Pakeiskite visus API raktus, žetonus ir prisijungimo duomenis
- Patikrinkite ir pašalinkite pažeistas priklausomybes
- Iš naujo įdiekite švarias paketų versijas
- Sustiprinkite CI/CD aplinkas naudodami mažiausiai privilegijų turinčią prieigą, slaptą nuskaitymą ir automatizuotą politikos vykdymą.
Shai-Hulud pabrėžia, kad šiuolaikinė programinės įrangos tiekimo grandinė išlieka labai pažeidžiama. Užpuolikai ir toliau išnaudoja spragas, susijusias su atvirojo kodo programinės įrangos publikavimu, pakavimu ir diegimu, dažnai nepasikliaudami nulinės dienos pažeidžiamumais. Veiksmingiausia gynyba reikalauja permąstyti, kaip programinė įranga kuriama, bendrinama ir vartojama.
