- Savarankiškai plintanti „Shai-Hulud“ kampanija pakenkė mažiausiai 187 npm paketams ir vis dar tiriama.
- Užpuolikai piktnaudžiauja patikimų leidėjų paskyromis, įterpia „bundle.js“ naudingąją apkrovą ir naudoja „TruffleHog“ paslaptims rinkti.
- Kenkėjiški po įdiegimo sukurti scenarijai buvo nukreipti į CI/CD, kad išfiltruotų aplinkos kintamuosius, debesies kreditus ir žetonus.
- „ReversingLabs“ sieja protrūkį su kenkėjiška „rxnt-authentication“ versija, išleista 14 m. rugsėjo 2025 d.; „npm“ ir tiekėjai šalina užkrėstus paketus.
Padidėjus atvirojo kodo rizikos analizei, didelio masto ataque a la cadena de suministro de npm pramintas „Shai-Hulud“, dreba „JavaScript“ ekosistemą Šimtai pažeistų paketų ir vyksta aktyvus valymasTyrėjai teigia, kad ši operacija apjungia paskyrų pažeidimus, automatinį skelbimą ir slaptą vagystę taip, kad ją neįprastai sunku suvaldyti.
Ankstyvosios analizės rodo, kad užpuolikai piktnaudžiauja patikimų leidėjų paskyromis, kad platintų spąstais užminuotus atnaujinimus. automatizavimas sparčiai platino kenkėjiškas versijas populiariuose projektuoseKadangi npm paketai yra plačiai pakartotinai naudojami, kaskadinis poveikis per priklausomybių medžius ypač kelia nerimą komandoms, kurios pasikliauja CI/CD srautais.
Kaip kampanija buvo pastebėta
Saugumo tyrėjai pirmiausia pastebėjo įtartiną veiklą, susijusią su projektais, kuriuose buvo nuorodos į su „CrowdStrike“ susijusius paketus, todėl buvo atliktas platesnis registro patikrinimas ieškant anomalijų. neleistini įkėlimai iš teisėtai atrodančių paskyrųĮmonių aplinkoje, atrodo, įprasti keli taikiniai, todėl padidėja sprogimo spindulys.
Programuotojas Danielis Pereira viešai perspėjo apie didelio masto tiekimo grandinės ataką, nes jam buvo sunku susisiekti su privačiais saugumo kanalais, ir paragino kūrėjus vengti neseniai išleistų... @ctrl/tinycolor – paketas, kuris kas savaitę atsisiunčiamas milijonais kartųJo perspėjimas paskatino kelių saugumo komandų koordinuotą tyrimą.
Ką kenkėjiška programa bando pavogti
Įdiegus pažeistus paketus, jie gali vykdyti poįdiegimo scenarijus, skirtus išfiltruoti aplinkos kintamuosius, žetonus ir kitas paslaptisTai kelia pavojų kompiliavimo serveriams ir kūrėjų darbo vietoms, jei diegimo arba CI vykdymo metu būtų pašalintos kenkėjiškos versijos.
Tiksliau, nukreipdami dėmesį į CI/CD sistemas, operatoriai siekė užfiksuoti autentifikavimo medžiagą, pvz. debesies teikėjo raktai, privačios prieigos žetonai ir paslaugos kredencialaiTurėdami šiuos įrankius savo rankose, priešininkai galėtų judėti į šonus, grįžti į tinklus ir potencialiai paveikti vamzdynus ar jautrias programas.
Kaip kirminas plinta tarp pakuočių
Tyrimai rodo, kad kampanijoje yra savaime plintantis komponentas, kuris atsisiuntė kiekvieną pažeisto prižiūrėtojo paketą, pakeitė jo paketas.json, sušvirkštas bundle.js naudingąją apkrovą, perpakavo ją ir iš naujo paskelbė – automatizuodamas vėlesnių leidimų užkrėtimą trojanu.
Kenkėjiška programa taip pat piktnaudžiavo teisėtu paslapčių nuskaitymo įrankiu. TruffleHog ieškoti paviešintų prisijungimo duomenų ir nurodytų konfigūracijos failų, pavadintų shai-hulud.yaml– tai užuomina į Kopos smėlio kirminus, kurie įkvėpė operacijos pavadinimą. Šis pakartotinio naudojimo ir automatizavimo derinys padėjo grėsmei greitai pasitraukti.
Taikymo sritis ir iki šiol paveikti paketai
„Socket and Aikido“ tyrėjai nustatė bent jau 187 pažeisti npm paketai iki šiol, o tikimasi, kad šis skaičius didės tęsiantis peržiūroms. Kadangi net viena pažeista priklausomybė gali paveikti daugelį projektų, faktinis poveikis gali būti didelis.
Tarp paveiktų buvo ir su „CrowdStrike“ susiję paketai, pvz. „crowdstrike-sdk“, „crowdstrike-client“ ir „crowdstrike-api“– kartu su kitais populiariais moduliais. Dėmesys įmonių bibliotekoms rodo, kad operatoriai siekė maksimalaus operacinio sverto.
Užuominos apie kilmę ir laiko juostą
„ReversingLabs“ praneša, kad protrūkis greičiausiai susijęs su kenkėjišku „...“ išleidimu. rxnt-autentifikavimas paskelbta 14 m. rugsėjo 2025 d., naudojant npm paskyrą techninė pagalba rxnt pateiktas kaip potencialus nulinis pacientas. Kaip ta paskyra buvo pažeista, lieka neaišku, hipotezės svyruoja nuo sukčiavimo apsimetant ir baigiant pažeidžiamos „GitHub Action“ paskyros piktnaudžiavimu.
Kelios įmonės „Shai-Hulud“ apibūdina kaip precedento neturintį... save replikuojantis npm paketų kirminas, kuris taip pat vagia debesies žetonusKol vyksta priskyrimo tyrimas, techniniame profilyje pabrėžiama, kaip užpuoliko valdoma automatizacija gali paversti paketų tvarkykles galingais platinimo kanalais.
Pramonės reakcija ir valymas
„npm“ registro ir saugumo partneriai persikėlė į pašalinti kenkėjiškus paketus, pranešti leidėjams ir pateikti nurodymus priklausomybių auditui. Programuotojams rekomenduojama patikrinti užrakinimo failus ir versijų istoriją, ypač išleidžiant maždaug 2025 m. rugsėjo vidurio versijas.
„CrowdStrike“ teigė, kad greitai pašalino nesąžiningus paketus iš viešųjų npm, aktyviai pakeitė raktus ir patvirtino, kad jo „Falcon“ jutiklis nenaudoja šių modulių, o klientų apsaugos priemonės lieka galioti.Bendrovė bendradarbiauja su npm ir atlieka išsamią peržiūrą.
Praktiniai žingsniai komandoms
Organizacijos turėtų nedelsdamos atlikti projektų auditą pagal žinomus rodiklius, prioritetą teikdamos priklausomybių sąrašai, užrakinimo failai ir CI kūrimo žurnalaiPakeiskite visus potencialiai pažeidžiamus žetonus ir prisijungimo duomenis, įskaitant npm žetonus, „GitHub“ PAT ir debesies raktus.
- Pašalinkite arba prisekite paveiktus paketus ir grįžkite prie saugių versijų; perkurkite iš švarių aplinkų.
- Įgalinkite privalomą 2FA npm leidėjų paskyroms ir CI/CD užtikrinkite mažiausių privilegijų žetonų naudojimą.
- Nuolat nuskaityti priklausomybes ir artefaktus, ar nėra klastojimo; stebėti anomalinį elgesį po įdiegimo.
- Nustatykite įspėjimus apie netikėtus jūsų organizacijos publikavimus ir prieš paaukštinimą patikrinkite paketo vientisumą.
Norėdami sumažinti riziką ateityje, įdiekite automatinius patikrinimus, kurie blokuoja įtartinus scenarijus diegimo metu, ir patikrinti naujų arba atnaujintų priklausomybių kilmę prieš joms pasiekiant gamybinę aplinkąPeržiūrėjus prižiūrėtojo prieigą, saugyklų apsaugą ir pasirašymo politiką, galima dar labiau sustiprinti grandinę.
Shai-Hulud kampanija atskleidė, kaip greitai ryžtingas veikėjas gali paversti pasitikėjimą populiariais registrais kaip ginklą, naudodamasis... pažeistos paskyros, kirminų pavidalo dauginimas ir slaptas rinkimas siekiant sustiprinti poveikį; budrumas, greitas taisomasis darbas ir griežtesnė leidėjų kontrolė dabar yra neatidėliotini prioritetai komandoms visoje ekosistemoje.
