ஷாய் ஹுலுட் v2 மால்வேர்

npm பதிவேட்டில் 830 க்கும் மேற்பட்ட தொகுப்புகள் சமரசம் செய்யப்பட்டதைத் தொடர்ந்து, ஷாய்-ஹுலுட் விநியோகச் சங்கிலித் தாக்குதலின் இரண்டாவது அலை இப்போது மேவன் சுற்றுச்சூழல் அமைப்பில் ஊடுருவியுள்ளது. ஆராய்ச்சியாளர்கள் மேவன் சென்ட்ரல் தொகுப்பை அடையாளம் கண்டுள்ளனர், org.mvnpm:posthog-node:4.18.1, இது முந்தைய npm தாக்குதல்களைப் போலவே தீங்கிழைக்கும் கூறுகளைக் கொண்டுள்ளது: ஏற்றி setup_bun.js மற்றும் பேலோட் bun_environment.js. தற்போது, இது மட்டுமே அறியப்பட்ட ஜாவா தொகுப்பு பாதிக்கப்பட்டுள்ளது.

குறிப்பிடத்தக்க வகையில், மேவன் தொகுப்பு போஸ்ட்ஹாக் நிறுவனத்தால் வெளியிடப்படவில்லை. அதற்கு பதிலாக, இது npm தொகுப்புகளை மேவன் கலைப்பொருட்களாக மீண்டும் உருவாக்கும் தானியங்கி mvnpm செயல்முறை மூலம் உருவாக்கப்பட்டது. நவம்பர் 25, 2025 நிலவரப்படி அனைத்து பிரதிபலித்த நகல்களும் அழிக்கப்பட்டதாக மேவன் சென்ட்ரல் உறுதிப்படுத்தியுள்ளது, மேலும் சமரசம் செய்யப்பட்ட npm கூறுகள் மீண்டும் வெளியிடப்படுவதைத் தடுக்க கூடுதல் பாதுகாப்புகள் செயல்படுத்தப்படுகின்றன.

உலகளாவிய டெவலப்பர் தாக்கம் மற்றும் தாக்குதல் இலக்குகள்

இந்தப் புதிய அலை, உலகெங்கிலும் உள்ள டெவலப்பர்களை குறிவைத்து, முக்கியமான தரவுகளைத் திருடுவதை நோக்கமாகக் கொண்டுள்ளது:

• API விசைகள்
• கிளவுட் சான்றுகள்
• npm மற்றும் GitHub டோக்கன்கள்

இது புழு போன்ற, சுய-பிரதிபலிப்பு முறையில் ஆழமான விநியோகச் சங்கிலி சமரசத்தையும் எளிதாக்குகிறது. ஷாய்-ஹுலுட்டின் இந்த மறு செய்கை ஆரம்ப செப்டம்பர் மாறுபாட்டை விட மிகவும் திருட்டுத்தனமானது, ஆக்கிரமிப்பு மற்றும் அழிவுகரமானது. npm பராமரிப்பாளர் கணக்குகளை சமரசம் செய்வதன் மூலம், தாக்குபவர்கள் டெவலப்பர் இயந்திரங்களின் பின்புற கதவு வழியாக ரகசியங்களை ஸ்கேன் செய்யும் ட்ரோஜனைஸ் செய்யப்பட்ட தொகுப்புகளை வெளியிடலாம் மற்றும் GitHub களஞ்சியங்களுக்கு வெளியேற்ற ரகசியங்களை தானாகவே ஸ்கேன் செய்யலாம்.

தீம்பொருள் எவ்வாறு செயல்படுகிறது: இரட்டை பணிப்பாய்வுகள் மற்றும் திருட்டுத்தனமான நுட்பங்கள்

இந்தத் தாக்குதல் இரண்டு தீங்கிழைக்கும் பணிப்பாய்வுகளைப் பயன்படுத்துகிறது:

• சுய-ஹோஸ்ட் செய்யப்பட்ட ரன்னர் பதிவு: GitHub கலந்துரையாடல் திறக்கப்படும் போதெல்லாம் தன்னிச்சையான கட்டளை செயல்படுத்தலை அனுமதிக்கிறது.
• ரகசியங்களை அறுவடை செய்யும் பணிப்பாய்வு: முறையாக சான்றுகளைச் சேகரித்து அவற்றை GitHub-க்குத் தள்ளுகிறது.
• ஷாய்-ஹுலுத் v2 இல் உள்ள முக்கிய மேம்பாடுகள் பின்வருமாறு:
• மைய தர்க்கத்தை மறைக்க பன் இயக்க நேரத்தைப் பயன்படுத்துதல்.
• தொற்று வரம்பை 20 முதல் 100 தொகுப்புகளாக விரிவுபடுத்துதல்.
• கண்டறிதலைத் தவிர்க்க GitHub இல் சீரற்ற வெளியேற்றக் களஞ்சியங்கள்

இதுவரை, 28,000 க்கும் மேற்பட்ட களஞ்சியங்கள் பாதிக்கப்பட்டுள்ளன, இது பிரச்சாரத்தின் மிகப்பெரிய அளவையும் ரகசியத்தையும் நிரூபிக்கிறது.

சுரண்டப்பட்ட பாதிப்புகள் மற்றும் விநியோகச் சங்கிலி இயக்கவியல்

GitHub Actions பணிப்பாய்வுகளில், குறிப்பாக pull_request_target மற்றும் workflow_run தூண்டுதல்களில், CI தவறான உள்ளமைவுகளை அச்சுறுத்தல் நபர்கள் பயன்படுத்திக் கொண்டுள்ளனர். தவறாக உள்ளமைக்கப்பட்ட ஒரு பணிப்பாய்வு ஒரு களஞ்சியத்தை 'நோயாளி பூஜ்ஜியமாக' மாற்றும், இது தீங்கிழைக்கும் குறியீட்டை விரைவாகப் பரப்புவதற்கு உதவுகிறது.

இந்தத் தாக்குதல் AsyncAPI, PostHog மற்றும் Postman உடன் தொடர்புடைய திட்டங்களை இலக்காகக் கொண்டுள்ளது, ஆகஸ்ட் 2025 S1ngularity தாக்குதலுடன் தொடங்கிய பரந்த பிரச்சாரத்தைத் தொடர்கிறது, இது npm இல் பல Nx தொகுப்புகளைப் பாதித்தது.

தி ஃபால்அவுட்: ரகசியங்கள் கசிந்தன மற்றும் முறையான ஆபத்து

பிரச்சாரத்தின் பகுப்பாய்வு காட்டுகிறது:

• AWS, Google Cloud மற்றும் Microsoft Azure இலிருந்து நூற்றுக்கணக்கான GitHub அணுகல் டோக்கன்கள் மற்றும் கிளவுட் சான்றுகள் வெளியேற்றப்பட்டன.
• ரகசியங்களைக் கொண்ட 5,000 க்கும் மேற்பட்ட கோப்புகள் GitHub இல் பதிவேற்றப்பட்டன.
• 4,645 களஞ்சியங்களில் அடையாளம் காணப்பட்ட 11,858 தனித்துவமான ரகசியங்களில், 2,298 நவம்பர் 24, 2025 நிலவரப்படி செல்லுபடியாகும் மற்றும் பொதுவில் அம்பலப்படுத்தப்பட்டன.

இது, ஒரு சமரசம் செய்யப்பட்ட பராமரிப்பாளர் எவ்வாறு ஒரு அடுக்கு விளைவைத் தூண்ட முடியும் என்பதை நிரூபிக்கிறது, இது ஆயிரக்கணக்கான கீழ்நிலை பயன்பாடுகளைப் பாதிக்கிறது.

டெவலப்பர்களுக்கான பரிந்துரைகள்

வெளிப்பாட்டைக் குறைக்க, டெவலப்பர்கள்:

• அனைத்து API விசைகள், டோக்கன்கள் மற்றும் சான்றுகளைச் சுழற்று.
• சமரசம் செய்யப்பட்ட சார்புகளைத் தணிக்கை செய்து அகற்றவும்.
• சுத்தமான தொகுப்பு பதிப்புகளை மீண்டும் நிறுவவும்.
• குறைந்த சலுகை அணுகல், ரகசிய ஸ்கேனிங் மற்றும் தானியங்கி கொள்கை அமலாக்கம் கொண்ட CI/CD சூழல்களை கடினப்படுத்துங்கள்.

நவீன மென்பொருள் விநியோகச் சங்கிலி மிகவும் பாதிக்கப்படக்கூடியதாகவே உள்ளது என்பதை ஷாய்-ஹுலுட் அடிக்கோடிட்டுக் காட்டுகிறார். திறந்த மூல மென்பொருள் எவ்வாறு வெளியிடப்படுகிறது, தொகுக்கப்படுகிறது மற்றும் பயன்படுத்தப்படுகிறது என்பதில் உள்ள இடைவெளிகளை தாக்குபவர்கள் தொடர்ந்து பயன்படுத்திக் கொள்கிறார்கள், பெரும்பாலும் பூஜ்ஜிய நாள் பாதிப்புகளை நம்பாமல். மிகவும் பயனுள்ள பாதுகாப்பிற்கு மென்பொருள் எவ்வாறு உருவாக்கப்படுகிறது, பகிரப்படுகிறது மற்றும் நுகரப்படுகிறது என்பதை மறுபரிசீலனை செய்வது அவசியம்.