- Pašizplatošā kampaņa "Shai-Hulud" apdraudēja vismaz 187 npm paketes un joprojām tiek izmeklēta.
- Uzbrucēji ļaunprātīgi izmantoja uzticamu izdevēju kontus, ievadīja bundle.js vērtumu un izmantoja TruffleHog, lai iegūtu noslēpumus.
- Ļaunprātīgi pēcinstalēšanas skripti bija vērsti uz CI/CD, lai izfiltrētu vides mainīgos, mākoņa kredītpunktus un žetonus.
- ReversingLabs saista uzliesmojumu ar ļaunprātīgu rxnt-authentication izlaišanu 14. gada 2025. septembrī; npm un pārdevēji attīra inficētās pakotnes.
Pastiprinātas atvērtā pirmkoda risku pārbaudes laikā, liela mēroga ataque a la cadena de suministro de npm ar nosaukumu “Shai-Hulud” satricina JavaScript ekosistēmu ar simtiem iesaistīto paku un notiek aktīva tīrīšanaPētnieki apgalvo, ka šī operācija apvieno kontu kompromitēšanu, automatizētu publicēšanu un slepenu zādzību tādā veidā, ka to ir neparasti grūti ierobežot.
Sākotnējās analīzes liecina, ka uzbrucēji ļaunprātīgi izmanto uzticamu izdevēju kontus, lai izplatītu atjauninājumus ar lamatām, vienlaikus automatizācija ātri izplatīja ļaunprātīgas versijas populāros projektosTā kā npm pakotnes tiek plaši atkārtoti izmantotas, kaskādes ietekme caur atkarību kokiem ir īpaši satraucoša komandām, kas paļaujas uz CI/CD cauruļvadiem.
Kā kampaņa tika pamanīta
Drošības pētnieki vispirms pamanīja aizdomīgas darbības, kas saistītas ar projektiem, kuros bija atsauces uz ar CrowdStrike saistītām pakotnēm, kas izraisīja plašāku reģistra pārbaudi, lai atklātu anomālijas un neatļautas augšupielādes no kontiem, kas izskatās likumīgiUzņēmumu vidē šķiet izplatīti vairāki mērķi, kas palielina sprādziena rādiusu.
Izstrādātājs Daniels Pereira publiski brīdināja par liela mēroga piegādes ķēdes uzbrukumu pēc tam, kad viņam bija grūtības sazināties ar privātiem drošības kanāliem, aicinot izstrādātājus izvairīties no nesen izlaidumiem. @ctrl/tinycolor, pakotne ar miljoniem lejupielāžu nedēļāViņa brīdinājums aktivizēja vairāku drošības komandu koordinētu izmeklēšanu.
Ko ļaunprogrammatūra mēģina nozagt
Pēc instalēšanas bojātās pakotnes var izpildīt pēcinstalēšanas skriptus, kas paredzēti, lai izfiltrēt vides mainīgos, žetonus un citus noslēpumusTas pakļauj riskam būvēšanas serverus un izstrādātāju darbstacijas, ja instalēšanas vai CI palaišanas laikā tiek izgūtas ļaunprātīgās versijas.
Konkrēti vēršoties pret CI/CD sistēmām, operatori centās iegūt autentifikācijas materiālus, piemēram, mākoņpakalpojumu sniedzēja atslēgas, privātās piekļuves žetoni un pakalpojumu akreditācijas datiAr šiem ieročiem pretinieki varētu pārvietoties sāniski, atgriezties tīklos un, iespējams, manipulēt ar cauruļvadiem vai sensitīvām lietojumprogrammām.
Kā tārps izplatās starp pakām
Izmeklēšana liecina, ka kampaņā ir iekļauts pašizplatošs komponents, kas lejupielādēja katru kompromitēta uzturētāja paketi, mainīja tās pack.json, injicēts a bundle.js lietderīgā slodze, pārpakota un atkārtoti publicēta, automatizējot turpmāko laidienu Trojas zirga instalēšanu.
Ļaunprogrammatūra arī ļaunprātīgi izmantoja likumīgu noslēpumu skenēšanas rīku. TruffleHog lai meklētu atklātus akreditācijas datus un atsauces konfigurācijas failus ar nosaukumu šai-hulud.yaml— atsauce uz Kāpas smilšu tārpiem, kas iedvesmoja operācijas nosaukumu. Šī atkārtotas izmantošanas un automatizācijas kombinācija palīdzēja draudiem ātri pārvietoties.
Darbības joma un līdz šim skartās pakotnes
Pētnieki no Socket and Aikido ir identificējuši vismaz 187 apdraudētas npm paketes līdz šim brīdim, un paredzams, ka skaits pieaugs, turpinoties pārskatīšanai. Tā kā pat viena bojāta atkarība var ietekmēt daudzus projektus, faktiskā iedarbība varētu būt ievērojama.
Starp skartajām bija ar CrowdStrike saistītas pakas, piemēram, crowdstrike-sdk, crowdstrike-client un crowdstrike-api—līdztekus citiem populāriem moduļiem. Uzsvars uz uzņēmumiem paredzētām bibliotēkām liecina, ka operatori centās panākt maksimālu darbības sviras efektu.
Norādes par izcelsmi un laika grafiku
ReversingLabs ziņo, ka uzliesmojums, visticamāk, ir saistīts ar ļaunprātīgu rxnt autentifikācija publicēts 14. gada 2025. septembrī, izmantojot npm kontu tehniskais atbalstsrxnt tiek uzskatīts par potenciālu nulles pacientu. Kā šis konts tika uzlauzts, joprojām nav skaidrs, un hipotēzes svārstās no pikšķerēšanas līdz neaizsargātas GitHub darbības ļaunprātīgai izmantošanai.
Vairāki uzņēmumi raksturo Shai-Hulud kā vēl nebijušu, pašreplicējoša npm pakotņu tārps, kas arī zog mākoņa žetonusKamēr tiek veikta attiecināšanas izpēte, tehniskajā profilā ir uzsvērts, kā uzbrucēju kontrolēta automatizācija var pārvērst pakotņu pārvaldniekus par spēcīgiem izplatīšanas kanāliem.
Nozares reakcija un sakopšana
NPM reģistra un drošības partneri pārcēlās uz noņemt ļaunprātīgas pakotnes, informēt izdevējus un sniegt norādījumus atkarību auditēšanai. Izstrādātājiem tiek ieteikts pārbaudīt bloķēšanas failus un versiju vēsturi, īpaši ap 2025. gada septembra vidus laidieniem.
CrowdStrike paziņoja, ka tas ātri iztīrīja negodīgas pakotnes no publiskās npm, proaktīvi mainīja atslēgas un apstiprināja, ka tā Falcon sensors neizmanto šos moduļus, un klientu aizsardzība paliek spēkā.Uzņēmums sadarbojas ar npm un veic visaptverošu pārskatu.
Praktiski soļi komandām
Organizācijām nekavējoties jāveic projektu audits attiecībā uz zināmiem rādītājiem, prioritāri nosakot atkarību saraksti, bloķēšanas faili un CI veidošanas žurnāliNomainiet visus potenciāli atklātos tokenus un akreditācijas datus, tostarp npm tokenus, GitHub PAT un mākoņatslēgas.
- Noņemiet vai piespraudiet skartās pakotnes un atgriezieties pie drošām versijām; izveidojiet atkārtotu izveidi no tīrām vidēm.
- Iespējojiet obligātu 2FA npm izdevēju kontiem un ieviesiet mazāko privilēģiju žetonus CI/CD.
- Nepārtraukti skenēt atkarības un artefaktus, lai noteiktu manipulācijas; uzraudzīt anomālu darbību pēc instalēšanas.
- Iestatiet brīdinājumus par negaidītām publicēšanām no jūsu organizācijas un pārbaudiet pakotnes integritāti pirms reklāmas publicēšanas.
Lai samazinātu turpmāku apdraudējumu, ieviesiet automatizētas pārbaudes, kas bloķē aizdomīgus skriptus instalēšanas laikā, un pārbaudīt jaunu vai atjauninātu atkarību izcelsmi, pirms tās nonāk ražošanas vidēUzturētāja piekļuves, repozitoriju aizsardzības un parakstīšanas politiku pārskatīšana var vēl vairāk nostiprināt ķēdi.
Šai-Huluda kampaņa ir atklājusi, cik ātri apņēmīgs dalībnieks var izmantot uzticēšanos populāriem reģistriem kā ieroci. kompromitēti konti, tārpu līdzīga pavairošana un slepena datu ieguve lai pastiprinātu ietekmi; modrība, ātra koriģējoša rīcība un stingrāka izdevēju kontrole tagad ir tūlītējas prioritātes komandām visā ekosistēmā.
