Multi-License Discount Quote
Banta sa Database Malware Shai Hulud v2 Malware

Shai Hulud v2 Malware

Sa pamamagitan ng Mezo sa Malware
Isalin To:

Ang pangalawang alon ng Shai-Hulud supply chain attack ay tumawid na ngayon sa Maven ecosystem, kasunod ng kompromiso ng mahigit 830 na pakete sa npm registry. Natukoy ng mga mananaliksik ang isang package ng Maven Central, org.mvnpm:posthog-node:4.18.1, na naglalaman ng parehong mga nakakahamak na bahagi tulad ng mga naunang pag-atake ng npm: ang loader setup_bun.js at ang payload bun_environment.js. Sa kasalukuyan, ito lamang ang kilalang Java package na apektado.

Kapansin-pansin, ang pakete ng Maven ay hindi nai-publish ng PostHog. Sa halip, ito ay nabuo sa pamamagitan ng isang automated na proseso ng mvnpm na muling bumubuo ng mga npm package bilang mga artifact ng Maven. Kinumpirma ng Maven Central na ang lahat ng naka-mirror na kopya ay na-purged simula noong Nobyembre 25, 2025, at ipinapatupad ang mga karagdagang proteksyon para maiwasang muling mai-publish ang mga nakompromisong bahagi ng npm.

Mga Layunin sa Epekto at Pag-atake ng Global Developer

Ang pinakabagong wave na ito ay nagta-target sa mga developer sa buong mundo, na naglalayong magnakaw ng sensitibong data tulad ng:

  • Mga API key
  • Mga kredensyal sa ulap
  • npm at mga token ng GitHub

Pinapadali din nito ang mas malalim na kompromiso sa supply chain sa paraang parang worm, self-replicating. Ang pag-ulit na ito ng Shai-Hulud ay mas patago, agresibo, at mapanira kaysa sa paunang variant ng Setyembre. Sa pamamagitan ng pagkompromiso sa mga account ng npm maintainer, maaaring mag-publish ang mga attacker ng mga trojanized na package na nag-i-backdoor sa mga developer machine at awtomatikong mag-scan para sa mga sikretong i-exfiltrate sa mga repositoryo ng GitHub.

Paano Gumagana ang Malware: Dual Workflows at Stealth Technique

Ang pag-atake ay gumagamit ng dalawang nakakahamak na daloy ng trabaho:

  • Self-host na pagpaparehistro ng runner: Nagbibigay-daan sa arbitrary na pagpapatupad ng command sa tuwing magbubukas ang isang GitHub Discussion.
  • Mga lihim na pag-aani ng daloy ng trabaho: Sistematikong kinokolekta ang mga kredensyal at itinutulak ang mga ito sa GitHub.
  • Ang mga pangunahing pagpapahusay sa Shai-Hulud v2 ay kinabibilangan ng:
  • Paggamit ng Bun runtime para itago ang core logic
  • Pagpapalawak ng takip ng impeksyon mula 20 hanggang 100 na pakete
  • Randomized na mga exfiltration repository sa GitHub para makaiwas sa pagtuklas

Sa ngayon, mahigit 28,000 na mga repositoryo ang naapektuhan, na nagpapakita ng napakalaking sukat at lihim ng kampanya.

Pinagsamantalahang Mga Kahinaan at Supply Chain Mechanics

Nag-capitalize ang mga aktor ng pagbabanta sa mga maling pagsasaayos ng CI sa mga workflow ng GitHub Actions, partikular na ang pull_request_target at workflow_run na mga trigger. Ang isang solong maling na-configure na daloy ng trabaho ay maaaring gawing 'pasyente zero' ang isang repository, na nagpapagana ng mabilis na pagpapalaganap ng malisyosong code.

Ang pag-atake ay naka-target ng mga proyektong nauugnay sa AsyncAPI, PostHog, at Postman, na nagpapatuloy sa isang mas malawak na kampanya na nagsimula sa Agosto 2025 na pag-atake ng S1ngularity, na nakaapekto sa ilang Nx package sa npm.

The Fallout: Mga Lihim na Leak at Systemic na Panganib

Ipinapakita ng pagsusuri sa kampanya:

  • Daan-daang GitHub access token at cloud credential mula sa AWS, Google Cloud, at Microsoft Azure ang na-exfiltrate.
  • Mahigit 5,000 file na may mga lihim ang na-upload sa GitHub.
  • Sa 11,858 natatanging lihim na natukoy sa 4,645 na repositoryo, 2,298 ang nanatiling valid at nalantad sa publiko noong Nobyembre 24, 2025.

Ipinapakita nito kung paano maaaring mag-trigger ng cascade effect ang isang nakompromisong maintainer, na makakahawa sa libu-libong mga downstream na application.

Mga Rekomendasyon para sa Mga Developer

Upang mabawasan ang pagkakalantad, dapat na:

  • I-rotate ang lahat ng API key, token, at kredensyal
  • I-audit at alisin ang mga nakompromisong dependency
  • I-install muli ang mga bersyon ng malinis na pakete
  • Patigasin ang mga kapaligiran ng CI/CD na may pinakamababang pribilehiyong pag-access, lihim na pag-scan, at awtomatikong pagpapatupad ng patakaran

Binibigyang-diin ni Shai-Hulud na ang modernong software supply chain ay nananatiling lubhang mahina. Patuloy na sinasamantala ng mga umaatake ang mga puwang sa kung paano na-publish, naka-package, at naka-deploy ang open-source na software, madalas nang hindi umaasa sa mga kahinaan sa zero-day. Ang pinakamabisang pagtatanggol ay nangangailangan ng muling pag-iisip kung paano binuo, ibinabahagi, at ginagamit ang software.

Trending

Pinaka Nanood

Naglo-load...