Скидка на мультилицензию
База данных угроз Вредоносное ПО Shai Hulud v2 Malware

Shai Hulud v2 Malware

К Mezo году в Вредоносное ПО году
Перевести на:

Вторая волна атаки на цепочку поставок Шаи-Хулуд уже проникла в экосистему Maven после компрометации более 830 пакетов в реестре npm. Исследователи обнаружили пакет Maven Central, org.mvnpm:posthog-node:4.18.1, содержащий те же вредоносные компоненты, что и предыдущие атаки на npm: загрузчик setup_bun.js и полезную нагрузку bun_environment.js. На данный момент это единственный известный пакет Java, затронутый этой атакой.

Примечательно, что пакет Maven не был опубликован PostHog. Вместо этого он был сгенерирован с помощью автоматизированного процесса mvnpm, который перестраивает пакеты npm в виде артефактов Maven. Maven Central подтвердил, что все зеркальные копии были удалены по состоянию на 25 ноября 2025 года, и внедряются дополнительные меры защиты для предотвращения повторной публикации скомпрометированных компонентов npm.

Глобальное воздействие разработчиков и цели атак

Последняя волна атак нацелена на разработчиков по всему миру и направлена на кражу конфиденциальных данных, таких как:

  • API-ключи
  • Облачные учетные данные
  • токены npm и GitHub

Он также способствует более глубокому взлому цепочки поставок, подобно червю, самовоспроизводящемуся. Эта версия Shai-Hulud более скрытна, агрессивна и разрушительна, чем первоначальный сентябрьский вариант. Скомпрометировав учётные записи сопровождающих npm, злоумышленники могут публиковать троянизированные пакеты, которые проникают в компьютеры разработчиков и автоматически сканируют их на наличие секретной информации для её последующей передачи в репозитории GitHub.

Как действует вредоносное ПО: двойные рабочие процессы и методы маскировки

Атака использует два вредоносных рабочих процесса:

  • Регистрация исполнителя на собственном сервере: позволяет выполнять произвольные команды при каждом открытии обсуждения на GitHub.
  • Рабочий процесс сбора секретов: систематический сбор учетных данных и отправка их на GitHub.
  • Ключевые улучшения в Shai-Hulud v2 включают в себя:
  • Использование среды выполнения Bun для сокрытия основной логики
  • Расширение лимита заражения с 20 до 100 упаковок
  • Рандомизированные репозитории эксфильтрации на GitHub для избежания обнаружения

На данный момент атаке подверглось более 28 000 репозиториев, что демонстрирует масштаб и скрытность кампании.

Эксплуатируемые уязвимости и механизмы цепочки поставок

Злоумышленники воспользовались ошибками в настройках непрерывной интеграции (CI) в рабочих процессах GitHub Actions, особенно в триггерах pull_request_target и workflow_run. Один-единственный неправильно настроенный рабочий процесс может превратить репозиторий в «нулевого пациента», способствуя быстрому распространению вредоносного кода.

Атака нацелена на проекты, связанные с AsyncAPI, PostHog и Postman, и является продолжением более масштабной кампании, которая началась с атаки S1ngularity в августе 2025 года, затронувшей несколько пакетов Nx в npm.

Последствия: утечка секретов и системный риск

Анализ кампании показывает:

  • Были украдены сотни токенов доступа GitHub и учетных данных облаков AWS, Google Cloud и Microsoft Azure.
  • На GitHub было загружено более 5000 файлов с секретами.
  • Из 11 858 уникальных секретов, выявленных в 4 645 репозиториях, 2 298 оставались действительными и были публично раскрыты по состоянию на 24 ноября 2025 года.

Это демонстрирует, как один скомпрометированный сопровождающий может вызвать каскадный эффект, заражая тысячи нижестоящих приложений.

Рекомендации для разработчиков

Чтобы снизить воздействие, разработчикам следует:

  • Выполните ротацию всех ключей API, токенов и учетных данных
  • Аудит и удаление скомпрометированных зависимостей
  • Переустановите чистые версии пакетов
  • Защитите среды CI/CD с помощью доступа с минимальными привилегиями, секретного сканирования и автоматизированного применения политик

Шай-Хулуд подчёркивает, что современная цепочка поставок программного обеспечения остаётся крайне уязвимой. Злоумышленники продолжают использовать пробелы в процедурах публикации, упаковки и развертывания ПО с открытым исходным кодом, часто не полагаясь на уязвимости нулевого дня. Наиболее эффективная защита требует переосмысления принципов разработки, распространения и использования программного обеспечения.

В тренде

Мошенничество с запросом авторизации отдела кадров

Фишинг, Спам
Крайне важно соблюдать осторожность при просмотре служебных сообщений, особенно учитывая, что киберпреступники всё чаще выдают себя за сотрудников внутренних отделов, чтобы получить доступ к конфиденциальной информации. Одним из последних примеров такой тактики является мошенничество с запросом авторизации отдела кадров — фишинговая операция, направленная на кражу учётных данных и взлом...

Мошенничество SafariBookings

Фишинг, Спам
Киберпреступники используют туристическую индустрию в своих целях, используя фишинговую кампанию, известную как мошенничество SafariBookings. Эти электронные письма не связаны с какими-либо легитимными компаниями, организациями или поставщиками услуг. Они выглядят как официальные сообщения от сервиса бронирования путешествий, но их единственная цель — обманным путём заставить получателей...

Наиболее просматриваемые

Загрузка...