Shai-Hulud 2.0 ellátási lánc támadás
Egy új féreg tömegesen fertőzi meg az NPM-csomagokat és hitelesítő adatokat szerez meg. A rosszindulatú program kódja tartalmazza a „SHA1HULUD” azonosítót, ezért a biztonsági elemzők „Shai-Hulud 2.0”-nak nevezik. Azonban nem világos, hogy ugyanazok a támadók telepítették-e mindkét verziót az npm ökoszisztémára, vagy csak egy opportunista kiberszereplőről van szó. Akárhogy is, a rosszindulatú program fejlesztői tanultak az első támadási hullámból és kiküszöbölték a szűk keresztmetszeteket.
2025. november 24-én délután több mint 425 npm-csomagot fertőzött meg az említett kártevő, amelyek havi letöltéseinek száma meghaladja a 100 milliót, köztük olyan nevekkel, mint az ENS Domains-el (Ethereum Name Service) kapcsolatos csomagok, különböző API-k, low-code és no-code platformok, mint a Zapier és a Postman. A „go-template” csomagok és az „AsyncAPI” alatt található különböző tárolók voltak valószínűleg elsőként érintettek, amelyeket november 21-23. között, azaz a hétvégén töltöttek fel.
A kártevő a kompromittált repokban keres hitelesítő adatokat, majd azokat a GitHubon az áldozat fiókja alatt teszi közzé. Megjelölésük „Sha1-Hulud: the Second Coming”, ami megkönnyíti az azonosítást. A GitHub közben igyekszik eltávolítani az érintett repokat, de folyamatosan új kódkönyvtárak jönnek létre: ma délután 14:30 körül több mint 27 800 volt.
A kártevő a következő fájlokat hozza létre: cloud.json, contents.json, environment.json és truffleSecrets.json. Megpróbál létrehozni egy discussion.yaml fájlt is a GitHub munkafolyamaton belül.
A Wiz intézkedéseket tett közzé, amelyeket javasolt végrehajtaniuk a biztonsági csapatoknak:
- Kompromittált csomagok eltávolítása és cseréje (npm cache törlése és függőségek pin-elése ismert, tiszta verziókhoz, vagy a 2025. november 21. előtti verziókra való helyreállás).
- Hitelesítő adatok cseréje (npm tokenek, GitHub PAT-ok, SSH kulcsok és felhőszolgáltatók hitelesítő adatainak visszavonása és újragenerálása).
- Adathalász rezisztens MFA használata a fejlesztői és CI/CD-fiókokhoz.
- A GitHub és CI/CD környezetek auditálása (újonnan létrehozott tárolók keresése, amelyek leírásában szerepel a „Shai-Hulud” kifejezés, valamint jogosulatlan munkafolyamatok vagy a huludra hivatkozó gyanús commitok keresése, továbbá új npm-kiadásokat monitorozása a szervezeten belül).
- Pipeline-ok hardeningje (a lifecycle szkriptek – postinstall, preinstall – tiltása a CI/CD-ben, a build rendszerek kimenő hálózati hozzáférésének korlátozása csak a megbízható domainekre, rövid élettartamú tokenek használata).
