Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programul malware Shai Hulud v2

Programul malware Shai Hulud v2

Până în Mezo în Programe malware
Tradu in:

Al doilea val al atacului Shai-Hulud asupra lanțului de aprovizionare a pătruns în ecosistemul Maven, în urma compromiterii a peste 830 de pachete din registrul npm. Cercetătorii au identificat un pachet Maven Central, org.mvnpm:posthog-node:4.18.1, care conține aceleași componente malițioase ca și atacurile npm anterioare: încărcătorul setup_bun.js și sarcina utilă bun_environment.js. În prezent, acesta este singurul pachet Java afectat.

În mod special, pachetul Maven nu a fost publicat de PostHog. În schimb, a fost generat printr-un proces automat mvnpm care reconstruiește pachetele npm ca artefacte Maven. Maven Central a confirmat că toate copiile oglindite au fost eliminate începând cu 25 noiembrie 2025 și că sunt implementate protecții suplimentare pentru a preveni republicarea componentelor npm compromise.

Impactul dezvoltatorilor la nivel global și obiectivele de atac

Acest ultim val vizează dezvoltatorii din întreaga lume, cu scopul de a fura date sensibile precum:

  • Chei API
  • Acreditări în cloud
  • token-uri npm și GitHub

De asemenea, facilitează compromiterea mai profundă a lanțului de aprovizionare într-o manieră autoreplicantă, asemănătoare unui vierme. Această iterație a Shai-Hulud este mai discretă, agresivă și distructivă decât varianta inițială din septembrie. Prin compromiterea conturilor de întreținere npm, atacatorii pot publica pachete troienizate care accesează computerele dezvoltatorilor prin backdoor și scanează automat secrete pentru a le exfiltra în depozitele GitHub.

Cum funcționează malware-ul: fluxuri de lucru duale și tehnici de stealth

Atacul utilizează două fluxuri de lucru rău intenționate:

  • Înregistrare alergător auto-găzduită: Permite executarea arbitrară a comenzilor de fiecare dată când este deschisă o discuție GitHub.
  • Flux de lucru pentru recoltarea secretelor: Colectează sistematic acreditările și le trimite către GitHub.
  • Îmbunătățirile cheie din Shai-Hulud v2 includ:
  • Utilizarea runtime-ului Bun pentru a ascunde logica de bază
  • Extinderea plafonului de infecție de la 20 la 100 de pachete
  • Depozite de exfiltrare randomizate pe GitHub pentru a evita detectarea

Până în prezent, peste 28.000 de depozite au fost afectate, demonstrând amploarea și discreția campaniei.

Vulnerabilități exploatate și mecanici ale lanțului de aprovizionare

Actorii amenințători au profitat de configurațiile greșite ale componentelor integrate (CI) din fluxurile de lucru GitHub Actions, în special de declanșatoarele pull_request_target și workflow_run. Un singur flux de lucru configurat greșit poate transforma un depozit în „pacientul zero”, permițând propagarea rapidă a codului rău intenționat.

Atacul a vizat proiecte asociate cu AsyncAPI, PostHog și Postman, continuând o campanie mai amplă care a început odată cu atacul S1ngularity din august 2025, care a afectat mai multe pachete Nx pe npm.

Consecințele: Secrete scurse și risc sistemic

Analiza campaniei arată:

  • Sute de token-uri de acces GitHub și acreditări cloud de la AWS, Google Cloud și Microsoft Azure au fost exfiltrate.
  • Peste 5.000 de fișiere cu secrete au fost încărcate pe GitHub.
  • Din cele 11.858 de secrete unice identificate în 4.645 de depozite, 2.298 au rămas valide și expuse publicului la 24 noiembrie 2025.

Acest lucru demonstrează cum un singur responsabil compromis poate declanșa un efect în cascadă, infectând mii de aplicații din aval.

Recomandări pentru dezvoltatori

Pentru a reduce expunerea, dezvoltatorii ar trebui:

  • Rotiți toate cheile API, token-urile și acreditările
  • Auditarea și eliminarea dependențelor compromise
  • Reinstalați versiunile curate ale pachetului
  • Consolidați mediile CI/CD cu acces cu privilegii minime, scanare secretă și aplicare automată a politicilor

Shai-Hulud subliniază că lanțul de aprovizionare cu software modern rămâne extrem de vulnerabil. Atacatorii continuă să exploateze lacunele în modul în care software-ul open-source este publicat, ambalat și implementat, adesea fără a se baza pe vulnerabilități zero-day. Cea mai eficientă apărare necesită regândirea modului în care software-ul este construit, partajat și consumat.

Trending

Cele mai văzute

Se încarcă...