Shai Hulud v2 Malware
Vala e dytë e sulmit të zinxhirit të furnizimit Shai-Hulud tani ka kaluar në ekosistemin Maven, pas kompromentimit të mbi 830 paketave në regjistrin npm. Studiuesit identifikuan një paketë Maven Central, org.mvnpm:posthog-node:4.18.1, e cila përmban të njëjtat komponentë keqdashës si sulmet e mëparshme npm: ngarkuesin setup_bun.js dhe ngarkesën bun_environment.js. Aktualisht, kjo është e vetmja paketë e njohur Java e prekur.
Vlen të përmendet se paketa Maven nuk u publikua nga PostHog. Në vend të kësaj, ajo u gjenerua përmes një procesi të automatizuar mvnpm që rindërton paketat npm si objekte Maven. Maven Central ka konfirmuar se të gjitha kopjet e pasqyruara janë pastruar që nga 25 nëntori 2025 dhe po zbatohen mbrojtje shtesë për të parandaluar ribotimin e komponentëve të kompromentuar npm.
Tabela e Përmbajtjes
Ndikimi Global i Zhvilluesve dhe Synimet e Sulmit
Kjo valë e fundit synon zhvilluesit në të gjithë botën, duke synuar të vjedhë të dhëna të ndjeshme si:
- Çelësat API
- Kredencialet në cloud
- tokenët npm dhe GitHub
Gjithashtu lehtëson kompromentimin më të thellë të zinxhirit të furnizimit në një mënyrë të ngjashme me krimbin, vetë-replikuese. Ky përsëritje e Shai-Hulud është më i fshehtë, agresiv dhe shkatërrues sesa varianti fillestar i shtatorit. Duke kompromentuar llogaritë e mirëmbajtësve të npm, sulmuesit mund të publikojnë paketa të trojanizuara që futen në makinat e zhvilluesve dhe skanojnë automatikisht sekrete për t'i nxjerrë në depot e GitHub.
Si funksionon programi keqdashës: Rrjedha pune të dyfishta dhe teknika të fshehta
Sulmi shfrytëzon dy rrjedha pune dashakeqe:
- Regjistrimi i ekzekutuesit të vetë-strehuar: Lejon ekzekutimin arbitrar të komandës sa herë që hapet një diskutim në GitHub.
- Fluksi i punës për mbledhjen e sekreteve: Mbledh sistematikisht kredencialet dhe i dërgon ato në GitHub.
- Përmirësimet kryesore në Shai-Hulud v2 përfshijnë:
- Përdorimi i kohës së ekzekutimit Bun për të fshehur logjikën thelbësore
- Zgjerimi i limitit të infeksionit nga 20 në 100 pako
- Depozita të rastësishme të eksfiltrimit në GitHub për të shmangur zbulimin
Deri më tani, mbi 28,000 depo janë prekur, duke demonstruar shkallën dhe fshehtësinë e fushatës.
Dobësitë e Shfrytëzuara dhe Mekanika e Zinxhirit të Furnizimit
Aktorët kërcënues kanë përfituar nga konfigurimet e gabuara të CI në rrjedhat e punës së GitHub Actions, veçanërisht shkaktarët pull_request_target dhe workflow_run. Një rrjedhë e vetme pune e konfiguruar gabim mund ta shndërrojë një depo në 'pacientin zero', duke mundësuar përhapjen e shpejtë të kodit keqdashës.
Sulmi ka synuar projekte të lidhura me AsyncAPI, PostHog dhe Postman, duke vazhduar një fushatë më të gjerë që filloi me sulmin S1ngularity të gushtit 2025, i cili ndikoi në disa paketa Nx në npm.
Pasojat: Sekretet e Rrjedhura dhe Rreziku Sistemik
Analiza e fushatës tregon:
- Qindra tokena aksesi në GitHub dhe kredenciale cloud nga AWS, Google Cloud dhe Microsoft Azure u nxorën jashtë.
- Mbi 5,000 skedarë me sekrete u ngarkuan në GitHub.
- Nga 11,858 sekrete unike të identifikuara në 4,645 depo, 2,298 mbetën të vlefshme dhe të ekspozuara publikisht që nga 24 nëntori 2025.
Kjo tregon se si një mirëmbajtës i vetëm i kompromentuar mund të shkaktojë një efekt kaskadë, duke infektuar mijëra aplikacione në rrjedhën e poshtme.
Rekomandime për Zhvilluesit
Për të zbutur ekspozimin, zhvilluesit duhet të:
- Rrotulloni të gjithë çelësat, tokenët dhe kredencialet API
- Auditoni dhe hiqni varësitë e kompromentuara
- Riinstaloni versionet e pastra të paketave
- Forconi mjediset CI/CD me akses me privilegjet më të pakta, skanim sekret dhe zbatim të automatizuar të politikave
Shai-Hulud nënvizon se zinxhiri modern i furnizimit me softuer mbetet shumë i cenueshëm. Sulmuesit vazhdojnë të shfrytëzojnë boshllëqet në mënyrën se si publikohet, paketohet dhe shpërndahet softueri me burim të hapur, shpesh pa u mbështetur në dobësitë zero-day. Mbrojtja më efektive kërkon ripërcaktimin e mënyrës se si ndërtohet, ndahet dhe konsumohet softueri.
