షాయ్ హులుద్ v2 మాల్వేర్

npm రిజిస్ట్రీలో 830 కి పైగా ప్యాకేజీలు రాజీపడిన తర్వాత, షాయ్-హులుద్ సరఫరా గొలుసు దాడి యొక్క రెండవ తరంగం ఇప్పుడు మావెన్ పర్యావరణ వ్యవస్థలోకి ప్రవేశించింది. పరిశోధకులు మావెన్ సెంట్రల్ ప్యాకేజీ, org.mvnpm:posthog-node:4.18.1 ను గుర్తించారు, ఇది మునుపటి npm దాడుల మాదిరిగానే హానికరమైన భాగాలను కలిగి ఉంది: లోడర్ setup_bun.js మరియు పేలోడ్ bun_environment.js. ప్రస్తుతం, ఇది ప్రభావితమైన ఏకైక తెలిసిన జావా ప్యాకేజీ.

ముఖ్యంగా, మావెన్ ప్యాకేజీని పోస్ట్‌హాగ్ ప్రచురించలేదు. బదులుగా, ఇది npm ప్యాకేజీలను మావెన్ కళాఖండాలుగా పునర్నిర్మించే ఆటోమేటెడ్ mvnpm ప్రక్రియ ద్వారా రూపొందించబడింది. నవంబర్ 25, 2025 నాటికి అన్ని మిర్రర్డ్ కాపీలను తొలగించామని మరియు రాజీపడిన npm భాగాలను తిరిగి ప్రచురించకుండా నిరోధించడానికి అదనపు రక్షణలు అమలు చేయబడుతున్నాయని మావెన్ సెంట్రల్ ధృవీకరించింది.

గ్లోబల్ డెవలపర్ ప్రభావం మరియు దాడి లక్ష్యాలు

ఈ తాజా తరంగం ప్రపంచవ్యాప్తంగా డెవలపర్‌లను లక్ష్యంగా చేసుకుంది, సున్నితమైన డేటాను దొంగిలించడం లక్ష్యంగా పెట్టుకుంది:

• API కీలు
• క్లౌడ్ ఆధారాలు
• npm మరియు GitHub టోకెన్లు

ఇది వార్మ్ లాంటి, స్వీయ-ప్రతిరూపణ పద్ధతిలో లోతైన సరఫరా గొలుసు రాజీని కూడా సులభతరం చేస్తుంది. షాయ్-హులుద్ యొక్క ఈ పునరావృతం ప్రారంభ సెప్టెంబర్ వేరియంట్ కంటే మరింత రహస్యంగా, దూకుడుగా మరియు విధ్వంసకరంగా ఉంటుంది. npm నిర్వహణ ఖాతాలను రాజీ చేయడం ద్వారా, దాడి చేసేవారు ట్రోజనైజ్డ్ ప్యాకేజీలను ప్రచురించవచ్చు మరియు GitHub రిపోజిటరీలకు రహస్యాలను స్కాన్ చేయవచ్చు.

మాల్వేర్ ఎలా పనిచేస్తుంది: ద్వంద్వ వర్క్‌ఫ్లోలు మరియు స్టెల్త్ టెక్నిక్స్

ఈ దాడి రెండు హానికరమైన వర్క్‌ఫ్లోలను ప్రభావితం చేస్తుంది:

• స్వీయ-హోస్ట్ రన్నర్ రిజిస్ట్రేషన్: GitHub చర్చ తెరిచినప్పుడల్లా ఏకపక్ష కమాండ్ అమలును అనుమతిస్తుంది.
• సీక్రెట్స్ హార్వెస్టింగ్ వర్క్‌ఫ్లో: క్రమబద్ధంగా ఆధారాలను సేకరించి వాటిని GitHubకి నెట్టివేస్తుంది.
• షాయ్-హులుద్ v2 లోని కీలక మెరుగుదలలు:
• కోర్ లాజిక్‌ను దాచడానికి బన్ రన్‌టైమ్‌ను ఉపయోగించడం
• ఇన్ఫెక్షన్ క్యాప్‌ను 20 నుండి 100 ప్యాకేజీలకు పెంచడం
• గుర్తింపును తప్పించుకోవడానికి GitHubలో యాదృచ్ఛిక ఎక్స్‌ఫిల్ట్రేషన్ రిపోజిటరీలు

ఇప్పటివరకు, 28,000 కి పైగా రిపోజిటరీలు ప్రభావితమయ్యాయి, ఇది ప్రచారం యొక్క విస్తృతి మరియు రహస్యతను ప్రదర్శిస్తుంది.

దోపిడీకి గురైన దుర్బలత్వాలు మరియు సరఫరా గొలుసు మెకానిక్స్

GitHub Actions వర్క్‌ఫ్లోలలో, ముఖ్యంగా pull_request_target మరియు workflow_run ట్రిగ్గర్‌లలో CI తప్పు కాన్ఫిగరేషన్‌లను బెదిరింపు నటులు ఉపయోగించుకున్నారు. తప్పుగా కాన్ఫిగర్ చేయబడిన ఒకే వర్క్‌ఫ్లో రిపోజిటరీని 'పేషెంట్ జీరో'గా మార్చగలదు, ఇది హానికరమైన కోడ్ యొక్క వేగవంతమైన ప్రచారాన్ని అనుమతిస్తుంది.

ఈ దాడి AsyncAPI, PostHog మరియు Postman లతో అనుబంధించబడిన ప్రాజెక్టులను లక్ష్యంగా చేసుకుంది, ఆగస్టు 2025 S1ngularity దాడితో ప్రారంభమైన విస్తృత ప్రచారాన్ని కొనసాగిస్తోంది, ఇది npmలో అనేక Nx ప్యాకేజీలను ప్రభావితం చేసింది.

ది ఫాల్అవుట్: సీక్రెట్స్ లీక్డ్ అండ్ సిస్టమిక్ రిస్క్

ప్రచారం యొక్క విశ్లేషణ చూపిస్తుంది:

• AWS, Google Cloud మరియు Microsoft Azure నుండి వందలాది GitHub యాక్సెస్ టోకెన్లు మరియు క్లౌడ్ ఆధారాలు తొలగించబడ్డాయి.
• రహస్యాలతో కూడిన 5,000 కి పైగా ఫైళ్లు GitHub కు అప్‌లోడ్ చేయబడ్డాయి.
• 4,645 రిపోజిటరీలలో గుర్తించబడిన 11,858 ప్రత్యేక రహస్యాలలో, 2,298 నవంబర్ 24, 2025 నాటికి చెల్లుబాటులో ఉన్నాయి మరియు బహిరంగంగా బహిర్గతమయ్యాయి.

ఇది ఒకే రాజీపడిన మెయింటెయినర్ క్యాస్కేడ్ ప్రభావాన్ని ఎలా ప్రేరేపించగలదో చూపిస్తుంది, ఇది వేలాది డౌన్‌స్ట్రీమ్ అప్లికేషన్‌లను ప్రభావితం చేస్తుంది.

డెవలపర్‌ల కోసం సిఫార్సులు

ఎక్స్‌పోజర్‌ను తగ్గించడానికి, డెవలపర్‌లు వీటిని చేయాలి:

• అన్ని API కీలు, టోకెన్లు మరియు ఆధారాలను తిప్పండి
• రాజీపడిన డిపెండెన్సీలను ఆడిట్ చేయండి మరియు తొలగించండి
• క్లీన్ ప్యాకేజీ వెర్షన్‌లను తిరిగి ఇన్‌స్టాల్ చేయండి
• తక్కువ-ప్రత్యేక ప్రాప్యత, రహస్య స్కానింగ్ మరియు ఆటోమేటెడ్ విధాన అమలుతో CI/CD వాతావరణాలను కఠినతరం చేయండి.

ఆధునిక సాఫ్ట్‌వేర్ సరఫరా గొలుసు అత్యంత దుర్బలంగా ఉందని షాయ్-హులుద్ నొక్కిచెప్పారు. ఓపెన్-సోర్స్ సాఫ్ట్‌వేర్ ప్రచురించబడిన, ప్యాక్ చేయబడిన మరియు అమలు చేయబడిన విధానంలో అంతరాలను దాడి చేసేవారు ఉపయోగించుకుంటూనే ఉన్నారు, తరచుగా జీరో-డే దుర్బలత్వాలపై ఆధారపడకుండా. అత్యంత ప్రభావవంతమైన రక్షణకు సాఫ్ట్‌వేర్ ఎలా నిర్మించబడుతుందో, పంచుకోబడుతుందో మరియు వినియోగించబడుతుందో పునరాలోచించడం అవసరం.