Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Shai Hulud v2-malware

Shai Hulud v2-malware

Tegen Mezo in Malware
Vertalen naar:

De tweede golf van de Shai-Hulud supply chain-aanval heeft nu het Maven-ecosysteem bereikt, na de inbreuk op meer dan 830 pakketten in het npm-register. Onderzoekers identificeerden een Maven Central-pakket, org.mvnpm:posthog-node:4.18.1, dat dezelfde kwaadaardige componenten bevat als de eerdere npm-aanvallen: de loader setup_bun.js en de payload bun_environment.js. Momenteel is dit het enige bekende Java-pakket dat is getroffen.

Opvallend is dat het Maven-pakket niet door PostHog is gepubliceerd. In plaats daarvan is het gegenereerd via een geautomatiseerd mvnpm-proces dat npm-pakketten herbouwt als Maven-artefacten. Maven Central heeft bevestigd dat alle gespiegelde kopieën per 25 november 2025 zijn verwijderd en dat er aanvullende beveiligingen worden geïmplementeerd om te voorkomen dat gecompromitteerde npm-componenten opnieuw worden gepubliceerd.

Wereldwijde impact en aanvalsdoelen voor ontwikkelaars

Deze nieuwste golf is gericht op ontwikkelaars over de hele wereld en heeft als doel gevoelige gegevens te stelen, zoals:

  • API-sleutels
  • Cloud-referenties
  • npm- en GitHub-tokens

Het maakt ook een diepere inbreuk op de toeleveringsketen mogelijk op een wormachtige, zelfreplicerende manier. Deze versie van Shai-Hulud is sluipender, agressiever en destructiever dan de oorspronkelijke septembervariant. Door accounts van npm-beheerders te compromitteren, kunnen aanvallers trojan-pakketten publiceren die een backdoor vormen voor ontwikkelaarsmachines en automatisch scannen op geheimen om te exfiltreren naar GitHub-repositories.

Hoe de malware werkt: dubbele workflows en stealth-technieken

De aanval maakt gebruik van twee kwaadaardige workflows:

  • Zelf-gehoste runner-registratie: Hiermee kunt u willekeurige opdrachten uitvoeren wanneer een GitHub-discussie wordt geopend.
  • Workflow voor het verzamelen van geheimen: verzamelt systematisch inloggegevens en pusht deze naar GitHub.
  • Belangrijke verbeteringen in Shai-Hulud v2 zijn onder meer:
  • Gebruik van de Bun-runtime om kernlogica te verbergen
  • Uitbreiding van de infectielimiet van 20 naar 100 verpakkingen
  • Gerandomiseerde exfiltratie-repositories op GitHub om detectie te ontwijken

Tot nu toe zijn meer dan 28.000 opslagplaatsen getroffen, hetgeen de enorme omvang en het geheime karakter van de campagne aantoont.

Uitgebuite kwetsbaarheden en mechanismen in de toeleveringsketen

Cybercriminelen hebben geprofiteerd van CI-misconfiguraties in GitHub Actions-workflows, met name de pull_request_target- en workflow_run-triggers. Eén verkeerd geconfigureerde workflow kan een repository in een 'patiënt nul' veranderen, waardoor schadelijke code zich snel kan verspreiden.

De aanval was gericht op projecten die verband houden met AsyncAPI, PostHog en Postman en was een voortzetting van een bredere campagne die begon met de S1ngularity-aanval in augustus 2025, die gevolgen had voor verschillende Nx-pakketten op npm.

De gevolgen: gelekte geheimen en systemisch risico

Analyse van de campagne laat het volgende zien:

  • Honderden GitHub-toegangstokens en cloudreferenties van AWS, Google Cloud en Microsoft Azure werden buitgemaakt.
  • Er zijn meer dan 5.000 bestanden met geheimen geüpload naar GitHub.
  • Van de 11.858 unieke geheimen die in 4.645 opslagplaatsen zijn geïdentificeerd, waren er op 24 november 2025 nog 2.298 geldig en openbaar.

Dit laat zien hoe één gecompromitteerde beheerder een domino-effect kan veroorzaken, waardoor duizenden downstream-applicaties worden geïnfecteerd.

Aanbevelingen voor ontwikkelaars

Om de blootstelling te beperken, moeten ontwikkelaars:

  • Roteer alle API-sleutels, tokens en inloggegevens
  • Controleer en verwijder gecompromitteerde afhankelijkheden
  • Schone pakketversies opnieuw installeren
  • Versterk CI/CD-omgevingen met toegang met minimale privileges, geheime scans en geautomatiseerde beleidshandhaving

Shai-Hulud benadrukt dat de moderne softwaretoeleveringsketen nog steeds zeer kwetsbaar is. Aanvallers blijven misbruik maken van lacunes in de manier waarop opensourcesoftware wordt gepubliceerd, verpakt en geïmplementeerd, vaak zonder gebruik te maken van zero-day-kwetsbaarheden. De meest effectieve verdediging vereist een heroverweging van de manier waarop software wordt ontwikkeld, gedeeld en gebruikt.

Trending

Meest bekeken

Bezig met laden...