Shai Hulud v2 ļaunprogrammatūra
Otrais Shai-Hulud piegādes ķēdes uzbrukuma vilnis tagad ir sasniedzis Maven ekosistēmu pēc tam, kad npm reģistrā tika apdraudētas vairāk nekā 830 pakotnes. Pētnieki identificēja Maven Central pakotni org.mvnpm:posthog-node:4.18.1, kas satur tās pašas ļaunprātīgās komponentes, kas iepriekšējos npm uzbrukumos: loader setup_bun.js un payload bun_environment.js. Pašlaik šī ir vienīgā zināmā skartā Java pakotne.
Jāatzīmē, ka Maven pakotni nepublicēja PostHog. Tā vietā tā tika ģenerēta, izmantojot automatizētu mvnpm procesu, kas atjauno npm pakotnes kā Maven artefaktus. Maven Central ir apstiprinājis, ka visas spoguļotās kopijas tika dzēstas no 2025. gada 25. novembra, un tiek ieviesti papildu aizsardzības pasākumi, lai novērstu kompromitētu npm komponentu atkārtotu publicēšanu.
Satura rādītājs
Globālie izstrādātāju ietekmes un uzbrukumu mērķi
Šī jaunākā uzbrukuma vilnis ir vērsts uz izstrādātājiem visā pasaulē, cenšoties nozagt sensitīvus datus, piemēram:
- API atslēgas
- Mākoņa akreditācijas dati
- npm un GitHub žetoni
Tas arī veicina dziļāku piegādes ķēdes kompromitēšanu tārpveida, pašreplicējošā veidā. Šī Shai-Hulud versija ir slepenāka, agresīvāka un postošāka nekā sākotnējā septembra variants. Apdraudot npm uzturētāju kontus, uzbrucēji var publicēt ar Trojas zirgu inficētas pakotnes, kas atver izstrādātāju datorus un automātiski skenē slepenus datus, lai tos varētu nofiltrēt uz GitHub krātuvēm.
Kā darbojas ļaunprogrammatūra: divkāršas darbplūsmas un slepenas metodes
Uzbrukums izmanto divas ļaunprātīgas darbplūsmas:
- Pašu mitināta skrējēja reģistrācija: ļauj izpildīt patvaļīgu komandu ikreiz, kad tiek atvērta GitHub diskusija.
- Noslēpumu apkopošanas darbplūsma: sistemātiski apkopo akreditācijas datus un nosūta tos uz GitHub.
- Galvenie Shai-Hulud v2 uzlabojumi ietver:
- Bun izpildlaika izmantošana, lai slēptu galveno loģiku
- Infekcijas ierobežojuma palielināšana no 20 līdz 100 iepakojumiem
- Nejaušas eksfiltrācijas krātuves pakalpojumā GitHub, lai izvairītos no atklāšanas
Līdz šim ir skartas vairāk nekā 28 000 krātuvju, kas apliecina kampaņas milzīgo mērogu un slepenību.
Izmantotās ievainojamības un piegādes ķēdes mehānika
Apdraudējumu izpildītāji ir izmantojuši nepareizas CI konfigurācijas GitHub Actions darbplūsmās, jo īpaši pull_request_target un workflow_run aktivizētājus. Viena nepareizi konfigurēta darbplūsma var pārvērst repozitoriju par "nulles pacientu", nodrošinot ļaunprātīga koda strauju izplatīšanos.
Uzbrukums ir vērsts pret projektiem, kas saistīti ar AsyncAPI, PostHog un Postman, turpinot plašāku kampaņu, kas sākās ar S1ngularity uzbrukumu 2025. gada augustā un ietekmēja vairākas Nx pakotnes npm.
The Fallout: Nopludinātie noslēpumi un sistēmiskais risks
Kampaņas analīze rāda:
- Tika nozagti simtiem GitHub piekļuves žetonu un mākoņa akreditācijas datu no AWS, Google Cloud un Microsoft Azure.
- GitHub tika augšupielādēti vairāk nekā 5000 failu ar slepenajiem datiem.
- No 11 858 unikāliem noslēpumiem, kas identificēti 4645 krātuvēs, 2298 joprojām bija derīgi un publiski pieejami 2025. gada 24. novembrī.
Tas parāda, kā viens kompromitēts uzturētājs var izraisīt kaskādes efektu, inficējot tūkstošiem pakārtoto lietojumprogrammu.
Ieteikumi izstrādātājiem
Lai mazinātu atkarību, izstrādātājiem vajadzētu:
- Rotēt visas API atslēgas, žetonus un akreditācijas datus
- Auditēt un noņemt apdraudētās atkarības
- Pārinstalējiet tīrās pakotnes versijas
- Nostipriniet CI/CD vides ar piekļuvi ar vismazākajām privilēģijām, slepenu skenēšanu un automatizētu politikas ieviešanu
Šai-Huluds uzsver, ka mūsdienu programmatūras piegādes ķēde joprojām ir ļoti neaizsargāta. Uzbrucēji turpina izmantot nepilnības atvērtā pirmkoda programmatūras publicēšanā, iepakošanā un ieviešanā, bieži vien nepaļaujoties uz nulles dienas ievainojamībām. Visefektīvākā aizsardzība prasa pārskatīt programmatūras veidošanas, koplietošanas un patērēšanas veidu.
