Злонамерни софтвер Шаи Хулуд v2
Други талас напада на ланац снабдевања Шаи-Хулуд сада је прешао на екосистем Мејвена, након компромитовања преко 830 пакета у нпм регистру. Истраживачи су идентификовали Мејвен Централ пакет, org.mvnpm:posthog-node:4.18.1, који садржи исте злонамерне компоненте као и ранији нпм напади: програм за учитавање setup_bun.js и корисни терет bun_environment.js. Тренутно је ово једини познати Јава пакет који је погођен.
Приметно је да Maven пакет није објавио PostHog. Уместо тога, генерисан је путем аутоматизованог mvnpm процеса који поново гради npm пакете као Maven артефакте. Maven Central је потврдио да су све огледалне копије обрисане од 25. новембра 2025. године и да се имплементирају додатне заштите како би се спречило поновно објављивање угрожених npm компоненти.
Преглед садржаја
Глобални утицај програмера и циљеви напада
Овај најновији талас циља програмере широм света, са циљем крађе осетљивих података као што су:
- API кључеви
- Акредитиви у облаку
- npm и GitHub токени
Такође олакшава дубље компромитовање ланца снабдевања на начин сличан црву, који се самореплицира. Ова итерација Шаи-Хулуда је прикривенија, агресивнија и деструктивнија од почетне септембарске варијанте. Компромитовањем налога одржавалаца npm-а, нападачи могу да објављују тројанизоване пакете који откривају машине програмера и аутоматски скенирају тајне како би их пренели у GitHub репозиторијуме.
Како злонамерни софтвер функционише: Двоструки токови рада и технике прикривања
Напад користи два злонамерна тока посла:
- Регистрација самостално хостованог тркача: Омогућава произвољно извршавање команди кад год се отвори GitHub дискусија.
- Радни ток за прикупљање тајни: Систематски прикупља акредитиве и шаље их на GitHub.
- Кључна побољшања у Шаи-Хулуд верзији 2 укључују:
- Коришћење Bun runtime-а за прикривање основне логике
- Проширење ограничења инфекције са 20 на 100 пакета
- Рандомизовани репозиторијуми за ексфилтрацију на ГитХабу ради избегавања откривања
До сада је погођено преко 28.000 спремишта, што показује обим и прикривеност кампање.
Искоришћене рањивости и механика ланца снабдевања
Претње су искористиле погрешне конфигурације CI у токовима рада GitHub Actions, посебно окидаче pull_request_target и workflow_run. Један погрешно конфигурисан ток рада може претворити спремиште у „нултог пацијента“, омогућавајући брзо ширење злонамерног кода.
Напад је усмерио пројекте повезане са AsyncAPI, PostHog и Postman, настављајући ширу кампању која је започела нападом S1ngularity у августу 2025. године, који је утицао на неколико Nx пакета на npm-у.
Последице: Процуреле тајне и системски ризик
Анализа кампање показује:
- Стотине токена за приступ GitHub-у и cloud акредитива из AWS-а, Google Cloud-а и Microsoft Azure-а су украдени.
- Преко 5.000 датотека са тајним подацима је отпремљено на ГитХаб.
- Од 11.858 јединствених тајни идентификованих у 4.645 спремишта, 2.298 је остало важеће и јавно објављено од 24. новембра 2025. године.
Ово показује како један угрожени одржавалац може покренути каскадни ефекат, заразивши хиљаде низводних апликација.
Препоруке за програмере
Да би ублажили изложеност, програмери би требало да:
- Ротирајте све API кључеве, токене и акредитиве
- Ревизија и уклањање угрожених зависности
- Поново инсталирајте чисте верзије пакета
- Ојачајте CI/CD окружења са приступом са најмањим привилегијама, тајним скенирањем и аутоматизованим спровођењем политика
Шај-Хулуд истиче да је савремени ланац снабдевања софтвером и даље веома рањив. Нападачи настављају да користе празнине у начину на који се софтвер отвореног кода објављује, пакује и примењује, често без ослањања на рањивости „нултог дана“. Најефикаснија одбрана захтева преиспитивање начина на који се софтвер гради, дели и користи.
