Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Shai-Hulud v2 се шири од npm кон Maven, додека кампањата открива илјадници тајни

Објавено: 27.11.2025

Вториот бран од нападот врз синџирот на снабдување Shai-Hulud се прошири и во Maven екосистемот, откако беа компромитирани повеќе од 830 пакети во npm регистарот.

Тимот за истражување на Socket изјави дека идентификувал пакет од Maven Central со име org.mvnpm:posthog-node:4.18.1 кој ги содржи истите две компоненти поврзани со Shai-Hulud: loader-от „setup_bun.js“ и главниот payload „bun_environment.js“. Компанијата за The Hacker News изјави дека org.mvnpm:posthog-node:4.18.1 е единствениот Java пакет идентификуван досега.

„Ова значи дека проектот PostHog има компромитирани изданија и во JavaScript/npm и во Java/Maven екосистемите, поттикнати од истиот Shai Hulud v2 payload“, соопшти сајбер-безбедносната компанија во ажурирање објавено во вторник.

Важно е да се напомене дека пакетот од Maven Central не е објавен директно од PostHog. Наместо тоа, координатите „org.mvnpm“ се генерирани преку автоматизиран mvnpm процес што ги преработува npm пакетите во Maven артефакти. Од Maven Central соопштија дека работат на воведување дополнителни заштити за да спречат веќе познати компромитирани npm компоненти повторно да се пакуваат. Заклучно со 25 ноември 2025 година во 22:44 UTC, сите огледални копии биле отстранети.

Овој развој следува откако „второто доаѓање“ на инцидентот со синџирот на снабдување ги таргетира програмерите глобално со цел кражба на чувствителни податоци како API клучеви, cloud креденцијали и npm и GitHub токени, како и олеснување на подлабока компромитација на синџирот на снабдување на начин сличен на црв (worm). Најновата итерација еволуирала да биде постелтна, поагресивна, поразмерлива и поразорна.

Покрај преземањето на целокупниот синџир на инфекција од почетната варијанта од септември, нападот им овозможува на заканувачките актери да добијат неовластен пристап до сметките на одржувачите на npm и да објавуваат тројанизирани верзии на нивните пакети. Кога несвесни програмери ги преземаат и извршуваат овие библиотеки, вградениот малициозен код создава „задна врата“ на нивните машини, скенира за тајни и ги ексфилтрира кон GitHub репозиториуми користејќи украдени токени.

Нападот го постигнува ова со инјектирање на два злонамерни workflow-а, од кои едниот ја регистрира жртвената машина како self-hosted runner и овозможува извршување на произволни команди секогаш кога ќе се отвори GitHub Discussion. Вториот workflow е наменет за систематско собирање на сите тајни. Повеќе од 28.000 репозиториуми биле погодени од инцидентот.

„Оваа верзија значително ја подобрува прикриеноста со користење на Bun runtime за сокривање на својата основна логика и го зголемува потенцијалниот опсег со подигнување на лимитот на инфекција од 20 на 100 пакети“, изјавија Ронен Славин и Рони Кузницки од Cycode. „Исто така користи нова техника за избегнување, при што украдените податоци се ексфилтрираат во јавно достапни GitHub репозиториуми со случајно генерирани имиња, наместо во еден единствен, однапред дефиниран.“

Нападите покажуваат колку е лесно за напаѓачите да ги искористат доверливите канали за дистрибуција на софтвер за да пласираат малициозни верзии во голем обем и да компромитираат илјадници зависни програмери. Дополнително, самореплицирачката природа на малициозниот софтвер значи дека е доволна една заразена сметка за значително да се прошири опсегот на нападот и за кратко време да се претвори во масовна епидемија.

Понатамошна анализа од Aikido откри дека заканувачките актери ги искористиле ранливостите, конкретно фокусирајќи се на погрешни конфигурации во CI, односно во workflow-ите pull_request_target и workflow_run, во постојните GitHub Actions процеси, со цел да го изведат нападот и да ги компромитираат проектите поврзани со AsyncAPI, PostHog и Postman.

„Ранливоста го користеше ризичниот pull_request_target тригер на начин што овозможуваше код доставен преку било кое ново pull request барање да се изврши за време на CI процесот,“ изјави безбедносниот истражувач Илијас Макари. „Една единствена погрешна конфигурација може да го претвори репозиториумот во ‘patient zero’ за брзо ширечки напад, давајќи му на напаѓачот можност да протне малициозен код преку автоматизираните процеси на кои се потпирате секојдневно.“

Се проценува дека оваа активност е продолжение на поширок сет напади насочени кон екосистемот, кои започнаа со кампањата S1ngularity во август 2025 година, што влијаеше врз повеќе Nx пакети на npm.

„Како нов и значително поагресивен бран на малициозен софтвер во синџирот на снабдување на npm, Shai-Hulud 2 комбинира прикриено извршување, широк опфат на украдени креденцијали и резервно деструктивно однесување, што го прави еден од највлијателните напади врз синџирот на снабдување оваа година“, изјави Надав Шаркази, продукт менаџер во Apiiro.

„Овој малициозен софтвер покажува како една единствена компромитација на популарна библиотека може да се прелее кон илјадници зависни апликации преку тројанизирање на легитимни пакети за време на инсталацијата.“

Податоци собрани од GitGuardian, OX Security и Wiz покажуваат дека кампањата довела до протекување на стотици GitHub пристапни токени и креденцијали поврзани со Amazon Web Services (AWS), Google Cloud и Microsoft Azure. Повеќе од 5.000 датотеки биле прикачени на GitHub со ексфилтрираните тајни. Анализата на GitGuardian на 4.645 GitHub репозиториуми идентификувала 11.858 единствени тајни, од кои 2.298 останале валидни и јавно изложени заклучно со 24 ноември 2025 година.

Корисниците се советуваат да ги ротират сите токени и клучеви, да ги проверуваат сите зависности, да ги отстранат компромитираните верзии, да ги преинсталираат чистите пакети и да ги зајакнат развојните и CI/CD средини со принцип на најмалку привилегирани пристапи, скенирање на тајни и автоматско спроведување на политики.

„Shai-Hulud е уште еден потсетник дека современиот софтверски синџир на снабдување сè уште е многу лесно да се наруши,“ изјави Ден Лоренц, ко-основач и извршен директор на Chainguard. „Доволен е еден компромитиран одржувач и малициозен скрипт за инсталација за да се прошири ефектот низ илјадници зависни проекти за само неколку часа.“

„Техниките што ги користат напаѓачите постојано еволуираат. Повеќето од овие напади не се базираат на zero-day ранливости. Тие ги искористуваат празнините во начинот на кој се објавува, пакува и воведува софтверот со отворен код во продукциските системи. Единствената вистинска одбрана е да се смени начинот на кој софтверот се гради и се користи.“

Извори:

  • The Hacker News – Shai-Hulud v2 Spreads From npm to Maven, as Campaign Exposes Thousands of Secrets The Hacker News