Shai Hulud v2 मालवेयर

npm रजिस्ट्रीमा ८३० भन्दा बढी प्याकेजहरू सम्झौता भएपछि, Shai-Hulud आपूर्ति श्रृंखला आक्रमणको दोस्रो लहर अब Maven इकोसिस्टममा प्रवेश गरेको छ। अनुसन्धानकर्ताहरूले Maven केन्द्रीय प्याकेज, org.mvnpm:posthog-node:4.18.1 पहिचान गरे, जसमा पहिलेका npm आक्रमणहरू जस्तै दुर्भावनापूर्ण घटकहरू छन्: लोडर setup_bun.js र payload bun_environment.js। हाल, यो एक मात्र ज्ञात जाभा प्याकेज हो जुन प्रभावित भएको छ।

उल्लेखनीय कुरा के छ भने, Maven प्याकेज PostHog द्वारा प्रकाशित गरिएको थिएन। यसको सट्टा, यो स्वचालित mvnpm प्रक्रिया मार्फत उत्पन्न गरिएको थियो जसले npm प्याकेजहरूलाई Maven कलाकृतिहरूको रूपमा पुनर्निर्माण गर्दछ। Maven Central ले पुष्टि गरेको छ कि नोभेम्बर २५, २०२५ सम्ममा सबै मिरर गरिएका प्रतिलिपिहरू हटाइएका थिए, र सम्झौता गरिएका npm कम्पोनेन्टहरूलाई पुन: प्रकाशित हुनबाट रोक्न थप सुरक्षाहरू लागू गरिँदैछ।

विश्वव्यापी विकासकर्ता प्रभाव र आक्रमण लक्ष्यहरू

यो पछिल्लो लहरले विश्वव्यापी विकासकर्ताहरूलाई लक्षित गर्दछ, जसको उद्देश्य संवेदनशील डेटा चोर्नु हो जस्तै:

• API कुञ्जीहरू
• क्लाउड प्रमाणपत्रहरू
• npm र GitHub टोकनहरू

यसले किरा जस्तो, स्व-प्रतिकृति बनाउने तरिकामा गहिरो आपूर्ति श्रृंखला सम्झौतालाई पनि सहज बनाउँछ। शाई-हुलुडको यो पुनरावृत्ति प्रारम्भिक सेप्टेम्बर संस्करण भन्दा बढी गोप्य, आक्रामक र विनाशकारी छ। npm मर्मतकर्ता खाताहरूसँग सम्झौता गरेर, आक्रमणकारीहरूले ट्रोजनाइज्ड प्याकेजहरू प्रकाशित गर्न सक्छन् जुन ब्याकडोर विकासकर्ता मेसिनहरू र स्वचालित रूपमा GitHub भण्डारहरूमा फैलाउन गोप्यहरूको लागि स्क्यान गर्न सक्छन्।

मालवेयर कसरी सञ्चालन हुन्छ: दोहोरो कार्यप्रवाह र चुपचाप प्रविधिहरू

यो आक्रमणले दुई दुर्भावनापूर्ण कार्यप्रवाहहरूको लाभ उठाउँछ:

• स्व-होस्ट गरिएको धावक दर्ता: GitHub छलफल खोल्दा मनमानी आदेश कार्यान्वयनलाई अनुमति दिन्छ।
• कार्यप्रवाहको रहस्य संकलन: व्यवस्थित रूपमा प्रमाणपत्रहरू सङ्कलन गर्छ र तिनीहरूलाई GitHub मा धकेल्छ।
• शाई-हुलुद v2 मा भएका प्रमुख सुधारहरू समावेश छन्:
• मुख्य तर्क लुकाउन बन रनटाइमको प्रयोग
• संक्रमण सीमा २० बाट १०० प्याकेजमा विस्तार
• पत्ता लगाउनबाट बच्न GitHub मा अनियमित एक्सफिल्ट्रेसन भण्डारहरू

अहिलेसम्म, २८,००० भन्दा बढी भण्डारहरू प्रभावित भएका छन्, जसले अभियानको व्यापकता र गोप्यता प्रदर्शन गर्दछ।

शोषित जोखिमहरू र आपूर्ति श्रृंखला मेकानिक्स

खतराका अभिनेताहरूले GitHub Actions कार्यप्रवाहहरूमा CI गलत कन्फिगरेसनहरू, विशेष गरी pull_request_target र workflow_run ट्रिगरहरूमा पूँजीकृत गरेका छन्। एउटा गलत कन्फिगर गरिएको कार्यप्रवाहले भण्डारलाई 'बिरामी शून्य' मा परिणत गर्न सक्छ, जसले गर्दा दुर्भावनापूर्ण कोडको द्रुत प्रसार सक्षम हुन्छ।

यो आक्रमणले AsyncAPI, PostHog, र Postman सँग सम्बन्धित परियोजनाहरूलाई लक्षित गरेको छ, जसले अगस्ट २०२५ को S1ngularity आक्रमणबाट सुरु भएको फराकिलो अभियानलाई निरन्तरता दिएको छ, जसले npm मा धेरै Nx प्याकेजहरूलाई असर गरेको थियो।

नतिजा: रहस्य चुहावट र प्रणालीगत जोखिम

अभियानको विश्लेषणले देखाउँछ:

• AWS, Google Cloud, र Microsoft Azure बाट सयौं GitHub पहुँच टोकनहरू र क्लाउड प्रमाणहरू हटाइएका थिए।
• GitHub मा ५,००० भन्दा बढी गोप्य फाइलहरू अपलोड गरियो।
• ४,६४५ भण्डारहरूमा पहिचान गरिएका ११,८५८ अद्वितीय गोप्य कुराहरू मध्ये, २,२९८ नोभेम्बर २४, २०२५ सम्म मान्य र सार्वजनिक रूपमा उजागर गरिएका थिए।

यसले कसरी एउटा सम्झौता गरिएको मर्मतकर्ताले हजारौं डाउनस्ट्रीम अनुप्रयोगहरूलाई संक्रमित गर्दै क्यास्केड प्रभाव ट्रिगर गर्न सक्छ भनेर देखाउँछ।

विकासकर्ताहरूको लागि सिफारिसहरू

जोखिम कम गर्न, विकासकर्ताहरूले निम्न गर्नुपर्छ:

• सबै API कुञ्जीहरू, टोकनहरू, र प्रमाणपत्रहरू घुमाउनुहोस्
• सम्झौता गरिएका निर्भरताहरूको लेखा परीक्षण गर्नुहोस् र हटाउनुहोस्
• सफा प्याकेज संस्करणहरू पुन: स्थापना गर्नुहोस्
• कम-विशेषाधिकार पहुँच, गोप्य स्क्यानिङ, र स्वचालित नीति प्रवर्तनको साथ CI/CD वातावरणलाई कडा बनाउनुहोस्।

शाई-हुलुदले आधुनिक सफ्टवेयर आपूर्ति श्रृंखला अत्यधिक जोखिममा रहेको कुरालाई जोड दिन्छन्। आक्रमणकारीहरूले खुला-स्रोत सफ्टवेयर कसरी प्रकाशित, प्याकेज गरिएको र तैनाथ गरिन्छ भन्ने कुरामा रहेको खाडलको फाइदा उठाउन जारी राख्छन्, प्रायः शून्य-दिनको जोखिममा भर नपरिकन। सबैभन्दा प्रभावकारी प्रतिरक्षाको लागि सफ्टवेयर कसरी निर्माण, साझेदारी र उपभोग गरिन्छ भन्ने कुरामा पुनर्विचार गर्न आवश्यक छ।