- Met meer dan 300 pakketten npm werden er manipulaties uitgevoerd in de aanvalscampagne van Shai-Hulud, waarbij malware werd geïntroduceerd in de tijd van het leven.
- De kwaadaardige code wordt in een pakket.js opgeslagen met behulp van scripts die beschikbaar zijn om tokens te bemachtigen en geheimen van meerdere plataformaten in de cloud.
- De aanvallen worden goedgekeurd door de GitHub-acties om de aanval te verspreiden en gegevens te exfiltreren op externe servers van forma-silenciosa.
- Startups en technologie zijn afhankelijk van de controle, verminderen de hoeveelheid tokens en hervormen de beveiliging van onze pijpleidingen CI/CD.
Het ecologische systeem is gebaseerd op een npm en pakketten open source Het lijkt erop dat we een slechte campagne hebben gevoerd, genaamd Shai-Hulud. Deze aflevering heeft de zorg over de kwetsbaarheid opnieuw leven ingeblazen, omdat u een software-cadena kunt gebruiken die een deel van de terceros kan vernietigen met een onvoldoende controle over de veiligheid.
Het laatste deel van de dag is een van de vele details van een ataque a gran escala contra paquetes npm als je een tijdje bezig bent, wordt het relatief duur voor veel uitrusting. Terwijl er steeds meer gegevens worden gepubliceerd, is er sprake van een scenario in de richting dat startups en projectcritici kunnen verwachten dat ze een geloofsbrieven uitbrengen en een diepgaand compromis sluiten over hun infrastructuur.
Een grote campagne: meer dan 300 pakketten npm comprometidos
Según de gepubliceerde analyses, de campagne Shai-Hulud werd ontdekt op 24 november 2025Omdat het bedrijf van de beveiligingsbedrijf HelixGuard een identificeerbare activiteit heeft uitgevoerd, kunnen meerdere modules in het NPM-register worden gebruikt. Als u voor het eerst een voorval op het einde van de route ziet, wordt een operationele coördinaat onthuld die van invloed is op meer dan 300 pakkettenEr zijn veel wijzigingen aangebracht om malware-componenten op te nemen.
Deze pakketten zijn geïntegreerd als afhankelijk van een groot aantal projecten, die de alcance van de aanval in de buurt versterken cadena de suministro de npm. In veel gevallen wordt gebruik gemaakt van routinematig gebruik voor gemeentes, omdat het een duidelijk zichtbare actualisatie is dat deze schadelijke software in hun toepassingen incorporeert.
De keuze van de verschillende soorten pakketten is een duidelijke strategie: verhoog de oppervlakte van de accu En maximaliseer de waarschijnlijkheid dat malware de bouw, de voortdurende integratiediensten en de productie van producten vernietigt. In deze modus kan een dergelijke campagne tegelijkertijd een groot aantal uitrustingen en organisaties beïnvloeden.
Voor de startups die technologie gebruiken die wordt aangepast en snel worden ontwikkeld, is dit een probleem: het gebruikelijke vertrouwen in het ecologisch open source-systeem is omgezet in een vectorsleutel voor voorzieningen tegen uw infrastructuur.
Dit is de functie van Shai-Hulud tijdens de projecten
Het centrale mechanisme voor opslag wordt in de archiefmanipulatie geplaatst package.json van de getroffen pakketten. Los atacantes-insertaban scripts van uscados en secciones como scriptsControleer de handelingen die automatisch tijdens de installatie- of bouwfase van het project worden uitgevoerd.
Deze scripts hebben geen eenvoudige fragmenten van de code zichtbaar gemaakt. Er zijn verschillende soorten mogelijkheden gebruiks- en technologie voor detectie van noodgevallenHet is moeilijk om een snelle herziening van de repository te onthullen als de definitieve versie is voltooid. Als u eenmaal bent geactiveerd, kunt u de logica invoeren die het toestaan van spionage en extra verstandige informatie over het compileren of uitvoeren van het project tot gevolg heeft.
De belangrijkste doelstellingen van Shai-Hulud zijn dat ze worden tegengegaan toegangstokens, API-sleutels en geheimen gebruik maken van herramientas desarrollo en plataformas van de infrastructuur op het nue. De kwaadaardige code is voorbereid op het genereren van gegevensvariabelen en configuratiefiches, waarbij de gegevens worden verzameld die andere toegang tot kritieke diensten kunnen bieden.
Dit is de invoer van scripts in package.json Het resultaat is dat vooral peligroso de wrijving in de levenscyclus van npm integreert. Veel van de geïnstalleerde scripts kunnen diepgaand worden herzien, omdat ze een legitiem deel van het functionele pakket vormen.
Nadat het kwaadaardige proces is geactiveerd, wordt de informatie verzameld en voorbereid om de infrastructuur te controleren door de aanvallen, wat met de bedoeling is minimizar su huella y el riesgo the levantar alertas de securidad tempranas.
Robo de geheimen op het nue en de exploitatie van GitHub Actions
Een van de aspecten die Shai-Hulud meer bezighoudt, is zijn capaciteit om een punt te bereiken entornos cloud en service van desarrollo vergroot gebruik. Malware is niet beperkt tot het beroven van algemene informatie, omdat specifieke credencials en tokens worden gekoppeld aan plataformaten NPM, AWS, GCP en Azure.
Bij het vastleggen van deze tokens kunnen de spelers een significante toegang verkrijgen privéopslagplaatsen, toegangen, serverloze functies en infrastructuurrecuperatiesAls de puerta lateraal beweegt, de code verandert, worden kwaadwillige aanvallen gepleegd of worden aanvallen achteraf opgenomen tegen de gebruikelijke finales van de getroffen toepassingen.
Bovendien, de aanval is geïntegreerd met de stroomstromen GitHub-acties, een onderdeel van de automatische verwerking, compilaties en bewerkingen. De malware is goedgekeurd door pijpleidingen para Verwijder aanvullende gegevens en exfiltreer gegevens Ze hebben externe dienstverleners die profiteren van de vele organisaties die hun CI/CD-stroom kunnen gebruiken en geen gedetailleerde controle hebben over de gerealiseerde operaties tijdens de uitvoering ervan.
Tijdens het camoufleren van de automatische automatiseringen kan Shai-Hulud een duidelijk zichtbaar resultaat genereren: de uitschakelingen van GitHub Actions kunnen als deel van de normale projectfunctie worden uitgevoerd, terwijl ze op een tweede plan de filtratie van de geheime infrastructuur van de infrastructuur produceren.
Dit is het gebruik van pijpleidingen CI/CD als het kanaal het idee van datgene opzuigt veilig in de suministro-cadena Er zijn geen grenzen aan de fuente code, het is een feit dat u de automatiseringsherramen en de flujo's van de bedrijfsactiviteiten kunt omzeilen. Een script dat schadelijk is voor een pakket dat niet kan worden omgezet, is een punt dat naar een systeem gaat dat veel meer versterkers bevat.
Impact op specifieke startups en technologie
De technologie-startups Deze zijn vooral kwetsbaar voor deze soort aanvallen omdat ze afhankelijk zijn van terceros-bibliotheek en open source-componenten om snel op de markt te komen. Als u een pakketcomprometium integreert, kan dit een manier zijn om toegang te krijgen tot een deel van uw infrastructuur.
Door een script te gebruiken dat Shai-Hulud tokens en geheimen vastlegt, wordt het concrete project niet beperkt en wordt het pakket gebruikt. Esos tokens suelen tener permisos amplios Om nieuwe versies te gebruiken, ga naar de gegevens- of beheergegevens op dit moment. In sommige gevallen kan een solo-geheim filter de kritieke kritiek of het manipuleren van productiecodes toestaan.
Meer dan de impact van de technologie, wat te verwachten is van de mogelijke vervolgstappen op de eindpunten reputatie en vertrouwen van de klant. Een van de gevolgen van een aanval op de economie kan gevolgen hebben voor sociologische problemen, die normatief zijn voor het beeld van het opstarten vóór de omkering en de gebruikelijke finales.
Veel van de uitrusting, het snel en snel herhalen van nieuwe functies, kunnen geen formele formele processen instellen afhankelijkheidsauditorium en beheer van de riesgos. Het geval van Shai-Hulud handelt als een registratie die de beveiliging integreert vanaf de eerste stap in de levenscyclus van het product, inclusief de beperkte terugverdientijd van het apparaat.
In deze context is de figuur van CTO De verantwoordelijke technologie vraagt een papier aan de hora definir die de inhoud van pakketten als belangrijke fiables beschouwt, terwijl de actualisaties worden gevalideerd en de controles worden toegepast voordat de codes op grote verantwoorde wijze worden verworpen.
Medidas-praktijken om overeenkomsten te voorkomen
Voordat een scenario van de campagne als Shai-Hulud zich herhaalt, is het van cruciaal belang dat de oprichters en verantwoordelijken een reeks concrete middeltjes aannemen om de problemen te verminderen. Een van de eerste verdedigingslijnen bestaat uit controleer de periode van de afhankelijkheid, bekijk vooral de cambios in archieven package.json en er zijn scripts toegevoegd aan de installatie of constructie.
Andere fundamentele zaken beperken het potentieel in het geval van geloofsfiltratie. Para ello, het is aan te bevelen verminder de hoeveelheid tokens En als u de bevoegdheden segmenteert, moet u weten dat een van uw geloofsbrieven toegang geeft tot een groter deel van de infrastructuur. Bovendien is het mogelijk om de variabelen van het grootste deel van de publieke en beheerde pijpleidingen van elkaar te scheiden.
In de automatiseringsmodus kunt u de capaciteit van de bijbehorende platformformaten bevestigen. Configureer waarschuwingen voor de beveiliging van GitHub-acties en andere systemen van CI/CD kunnen ongebruikelijke overeenkomsten detecteren, terwijl ondoorzichtige verbindingen of opvallende verbindingen de machthebbers kunnen misleiden die een exfiltratie-intentie kunnen uiten.
Veel organisaties zijn gespecialiseerd in het integreren van speciale diensten in de beveiliging van de economie, als oplossingen voor de escan van bepaalde afhankelijkheden Snyk o HelixGuard. Deze herramientas kunnen identificeerbare pakketten met historische problemen zijn, versies van comprometidas of patrones van de code zijn specifiek vóór de productie ervan.
Om uiteindelijk een politiek van feitelijke controle over te nemen en forma transparant te communiceren met de gemeenschap en met de bewijzen van de herramiënt die als resultaat een beslissing nemen. Compartimentindicaties voor compromissenRapporteurs van dergelijke pakketten en samenwerken aan de identificatie van vergelijkbare campagnes kunnen het ecologisch systeem samen met de snelle reactie van de burgemeester vóór de toekomst verbeteren.
Het geval van Shai-Hulud illustreert dat sommige aanvalstechnieken geavanceerd zijn om in het infiltratieproces te infiltreren. Het is een idee om dit te exploiteren cadena de suministro de npm, wat informatie over de buscaba betreft en wat debilidades zijn, is het mogelijk om uw uitrusting te verbeteren en uw praktijk te verbeteren door de automatische vertrouwensrelatie met een externe afhankelijkheid. Integrale beveiligingscontroles in de huidige fase van de software-ciclosure kunnen worden omgezet in een noodzakelijke strategie die meer is dan een optionele aanbeveling.
