Shai Hulud v2 Malware

Gelombang kedua serangan rantaian bekalan Shai-Hulud kini telah merentasi ekosistem Maven, berikutan kompromi lebih 830 pakej dalam pendaftaran npm. Penyelidik mengenal pasti pakej Maven Central, org.mvnpm:posthog-node:4.18.1, yang mengandungi komponen berniat jahat yang sama seperti serangan npm terdahulu: loader setup_bun.js dan payload bun_environment.js. Pada masa ini, ini adalah satu-satunya pakej Java yang diketahui terjejas.

Terutama, pakej Maven tidak diterbitkan oleh PostHog. Sebaliknya, ia dijana melalui proses mvnpm automatik yang membina semula pakej npm sebagai artifak Maven. Maven Central telah mengesahkan bahawa semua salinan cermin telah dibersihkan mulai 25 November 2025, dan perlindungan tambahan sedang dilaksanakan untuk mengelakkan komponen npm yang terjejas daripada diterbitkan semula.

Kesan dan Matlamat Serangan Pembangun Global

Gelombang terbaharu ini menyasarkan pembangun di seluruh dunia, bertujuan untuk mencuri data sensitif seperti:

• kunci API
• Bukti kelayakan awan
• token npm dan GitHub

Ia juga memudahkan kompromi rantaian bekalan yang lebih mendalam dengan cara seperti cacing, mereplikasi sendiri. Lelaran Shai-Hulud ini lebih senyap, agresif dan merosakkan daripada varian awal September. Dengan menjejaskan akaun penyelenggara npm, penyerang boleh menerbitkan pakej trojan yang menutup mesin pembangun pintu belakang dan mengimbas secara automatik untuk mencari rahsia untuk menyusup ke repositori GitHub.

Cara Perisian Hasad Beroperasi: Dwi Aliran Kerja dan Teknik Stealth

Serangan itu memanfaatkan dua aliran kerja berniat jahat:

• Pendaftaran pelari yang dihoskan sendiri: Membenarkan pelaksanaan arahan sewenang-wenangnya apabila Perbincangan GitHub dibuka.
• Aliran kerja penuaian rahsia: Mengumpul bukti kelayakan secara sistematik dan menolaknya ke GitHub.
• Penambahbaikan utama dalam Shai-Hulud v2 termasuk:
• Penggunaan masa jalan Bun untuk menyembunyikan logik teras
• Pengembangan penutup jangkitan daripada 20 hingga 100 pakej
• Repositori exfiltrasi rawak pada GitHub untuk mengelakkan pengesanan

Setakat ini, lebih 28,000 repositori telah terjejas, menunjukkan skala besar dan sembunyi-sembunyi kempen itu.

Kerentanan yang Dieksploitasi dan Mekanik Rantaian Bekalan

Aktor ancaman telah memanfaatkan salah konfigurasi CI dalam aliran kerja Tindakan GitHub, terutamanya pencetus pull_request_target dan workflow_run. Satu aliran kerja tersalah konfigurasi boleh menukar repositori menjadi 'sifar pesakit', membolehkan penyebaran kod berniat jahat dengan pantas.

Serangan itu telah menyasarkan projek yang dikaitkan dengan AsyncAPI, PostHog dan Postman, meneruskan kempen yang lebih luas yang bermula dengan serangan S1ngularity Ogos 2025, yang memberi kesan kepada beberapa pakej Nx pada npm.

The Fallout: Rahsia Bocor dan Risiko Sistemik

Analisis kempen menunjukkan:

• Beratus-ratus token akses GitHub dan bukti kelayakan awan daripada AWS, Google Cloud dan Microsoft Azure telah dikeluarkan.
• Lebih 5,000 fail dengan rahsia telah dimuat naik ke GitHub.
• Daripada 11,858 rahsia unik yang dikenal pasti dalam 4,645 repositori, 2,298 kekal sah dan didedahkan secara terbuka pada 24 November 2025.

Ini menunjukkan bagaimana satu penyelenggara yang terjejas boleh mencetuskan kesan lata, menjangkiti beribu-ribu aplikasi hiliran.

Syor untuk Pembangun

Untuk mengurangkan pendedahan, pembangun hendaklah:

• Putar semua kunci API, token dan bukti kelayakan
• Audit dan alih keluar kebergantungan yang terjejas
• Pasang semula versi pakej bersih
• Mengeraskan persekitaran CI/CD dengan akses paling tidak istimewa, pengimbasan rahsia dan penguatkuasaan dasar automatik

Shai-Hulud menggariskan bahawa rantaian bekalan perisian moden kekal sangat terdedah. Penyerang terus mengeksploitasi jurang dalam cara perisian sumber terbuka diterbitkan, dibungkus dan digunakan, selalunya tanpa bergantung pada kerentanan sifar hari. Pertahanan yang paling berkesan memerlukan pemikiran semula bagaimana perisian dibina, dikongsi dan digunakan.