- Mehr als 300 NPM-Pakete wurden in der Shai-Hulud-Angriffskampagne manipuliert und führten in der Suministro-Kategorie Malware ein.
- Der böswillige Code ist in package.json enthalten und enthält Skripte, die für den Diebstahl von Tokens und Geheimnissen mehrerer Cloud-Plattformen entwickelt wurden.
- Die Zugriffe werden von GitHub-Aktionen genehmigt, um den Zugriff zu verbreiten und Daten von externen Servern in stiller Form zu extrahieren.
- Startups und Techniker müssen ihre Abhängigkeiten überprüfen, den Token-Bestand reduzieren und die Sicherheit in ihren CI/CD-Pipelines verbessern.
Das Ökosystem des Desarrollo basado en npm und Open-Source-Pakete Ich habe ihn so begeistert von einer böswilligen Kampagne namens Shai-Hulud gesehen. Diese Folge hat die Sorge um die Zerbrechlichkeit wieder zum Leben erweckt, die zu einer Reihe von Software-Entwicklern führen kann, sobald sie auf Komponenten auf der Terz mit unzureichender Sicherheitskontrolle stoßen.
In den letzten Tagen haben wir uns mit den Einzelheiten der Geschichte beschäftigt ataque eine große Treppe gegen Pakete npm que ha pasado, während einer Zeit, relativ verzweifelt für viel Ausrüstung. Als ich mehr Daten veröffentlichte, habe ich ein Szenario beschrieben, in dem Entwickler, Start-ups und Projektkritiker einen Mangel an Qualifikationen und einen tiefgreifenden Kompromiss bei ihrer Infrastruktur feststellen mussten.
Eine größere Packung: mehr als 300 Packungen NPM-Comprometidos
Según los análisis publicados, la campaña de Shai-Hulud wurde am 24. November 2025 entdeckt, als das Sicherheitsunternehmen HelixGuard eine anomale Aktivität bei mehreren Modulen in der NPM-Registrierung identifizierte. Das erste Mal, dass ein Vorfall im Gange war, endete mit der Offenlegung eines koordinierten Vorgangs, der a in Mitleidenschaft gezogen wurde mehr als 300 Pakete, Alle Änderungen wurden vorgenommen, um Malware-Komponenten einzuschließen.
Diese kompromittierten Pakete lassen sich als Abhängigkeiten von zahlreichen Projekten integrieren, was den Zugriff auf die Umgebung des Unternehmens verstärkt cadena de suministro de npm. In vielen Fällen haben wir die Absicht, Routinetätigkeiten für Kommunen auszunutzen, da wir aufgrund einer offensichtlichen Aktualisierung böswillige Codes in Ihre Anwendungen einbeziehen müssen.
Die Auswahl der ausgewählten Pakete erfordert eine klare Strategie: Vergrößern Sie die Angriffsfläche Dadurch wird die Wahrscheinlichkeit maximiert, dass sich die Schadsoftware in den Bau-, Server-, Integrations- und Produktivitätskomplexen ausbreitet. Auf diese Weise kann eine einzelne Kampagne gleichzeitig auf zahlreiche Ausrüstungen und Organisationen wirken.
Für die Start-up-Technologien, die mit angepassten Plätzen und schnellen Entwicklungszyklen arbeiten, ist die Situation, in der sie ein Problem haben: Das Vertrauen in das Open-Source-Ökosystem wurde in einen Vektorschlüssel umgewandelt Amenazas Avanzadas Contra Su Infraestructura.
Wie funktioniert Shai-Hulud im Rahmen der Projekte?
Der zentrale Mechanismus der Festplatte wird bei der Archivmanipulation aktiviert paket.json de los paquetes afectados. Los atacantes insertaban Skripte von Uscados en secciones como scripts, aprovechando Befehle, die während der Phase wie die Installation oder die Konstruktion des Projekts automatisch ausgeführt werden.
Diesen Skripten wurden keine einfachen Codefragmente hinzugefügt, die auf den ersten Blick sichtbar sind. Estaban diseñados con diferentes capas de Anleitung und Technik, um eine Erkennung zu vermeidenEs ist schwierig, eine schnelle Überarbeitung des Repositoriums zu veröffentlichen, bevor es endgültig ist. Sobald die Aktivierung erfolgt ist, müssen Sie die Logik, die es ermöglicht, zu spionieren und zusätzliche Informationen über das Projekt bereitzustellen, nachdem es kompiliert oder ausgeführt wurde, aktiviert haben.
Die Hauptziele von Shai-Hulud werden verworfen Zugriffstoken, API-Schlüssel und Geheimnisse Verwendete Baumaschinen und Plattformen für die Infrastruktur im Weltraum. Der böswillige Code wurde für die Registrierung von Variablen aus dem Verzeichnis und den Konfigurationsdateien vorbereitet und wird immer dann abgerufen, wenn er Zugriff auf die Dienste von Kritikern erhalten kann.
Dies ist die Quelle von Inyectar-Skripten paket.json Das Ergebnis ist ein besonderes Ergebnis, weil es während des Lebenszyklus von NPM ohne Reibung sichtbar wird. Wir haben viele Installationsskripte ohne gründliche Überprüfung erstellt, da wir davon ausgehen, dass dies Teil der legitimen Funktionalität des Pakets ist.
Sobald der böswillige Prozess aktiviert wurde, werden die Informationen zurückgerufen und vorbereitet, damit die Infrastruktur von den Angreifern kontrolliert wird, was auch immer meine Absicht ist minimizar su huella y el riesgo de levantar warnungen de seguridad tempranas.
Robo de Secrets im Nu und Exploration von GitHub Actions
Einer der Aspekte, die Shai-Hulud am meisten beschäftigten, war seine Fähigkeit, sich direkt an ihn zu wenden Entornos Cloud und Desarrollo-Dienste Vielfach genutzt. Die Schadsoftware ist nicht darauf beschränkt, allgemeine Informationen zu missbrauchen, da sie nur bestimmte Zugangsdaten und Tokens enthält, die mit Plattformen wie z. B. verbunden sind NPM, AWS, GCP und Azure.
Wenn Sie diese Token einfangen, können Angreifer einen wichtigen Zugriff erhalten Private Repositorys, Inhalte, serverlose Funktionen und Infrastrukturrekursionen, lo que abría the puerta a movimientos laterales, alteración de code, depliegues böswillige or incluso ataques posteriores con usuarios finales de las aplicaciónes ffectadas.
Además, el ataque se integraba con los flujos de trabajo de GitHub-Aktionen, eine Schlüsselkomponente zur automatischen Prüfung, Kompilierung und Nachbearbeitung. Die Malware ist für Pipelines zugelassen Zusätzliche Befehle auswerfen und Daten extrahieren Ich habe externe Dienstleister begünstigt, denen viele Organisationen mitgeteilt haben, dass sie mit ihren CI/CD-Flüssen betraut sind, und alle ausgeführten Operationen während der Entlassung nicht im Detail überwacht haben.
Als Shai-Hulud mit automatisierten Programmen arbeitet, generiert er ein offensichtliches Problem: Die Auswürfe von GitHub Actions werden als Teil der normalen Projektfunktion wahrgenommen, während sie im zweiten Plan die Filterung von Geheimnissen durch die Infrastruktur des Angriffs erzeugen.
Dies ist die Verwendung von CI/CD-Pipelines als Anbindungskanal an die Idee, die sie hatten Sicherheit in der Suministro-Kette Der Code ist nicht begrenzt, aber es werden auch die Automatisierungsgeräte und die Flujos der Mitarbeiter mit einbezogen. Ein böswilliges Skript und ein NPM-Paket können in noch größerem Umfang in den Eingabepunkt eines Systems konvertiert werden.
Besondere Auswirkungen auf Startups und Techniker
Die Technologie-Startups Besonders gefährdet sind Angriffe auf diese Art von Angriffen auf ihre völlige Abhängigkeit von Bibliotheken von Drittanbietern und Open-Source-Komponenten, um die Geschwindigkeit in der Zukunft zu steigern. Durch die Integration eines kompromittierten Pakets können Sie ohne Bedenken einen Zugriff auf die Zugangstür zum Teil Ihrer Infrastruktur erhalten.
Da Shai-Hulud ein Skript verwendet, um Token und Geheimnisse zu erfassen, sind die Möglichkeiten für das konkrete Projekt nicht begrenzt, da das Paket nicht verwendet werden kann. Esos Token Suelen Tener Permisos Amplios Um neue Versionen abzurufen, greifen Sie auf die Datengrundlagen zu oder nutzen Sie die Rekursion auf unserer Website. Im schlimmsten Fall könnte ein einziges geheimes Filtrado dazu führen, dass die Angreifer die Dienste von Kritikern unterbrechen oder den Code bei der Produktion manipulieren.
Zusätzlich zu den Auswirkungen auf die Technik müssen Sie noch die möglichen Folgen an den Enden sehen Ruf und Vertrauen des Kunden. Ein Bruch, der von einem Angriff auf die Kette der Suministro abgeleitet wurde, könnte sich auf die Gesellschaft auswirken, inklusive normativer Anpassung an das Bild des Startups vor den Anlegern und den Endbenutzern.
Viele junge Leute haben sich auf eine zügige Reise konzentriert und neue Funktionen entwickelt, bis heute keine formellen Prozesse etabliert sind Auditoría de Dependencias y Gestión de Riesgos. Der Fall von Shai-Hulud ist als Aufzeichnung anzusehen, weil die Sicherheit nach den ersten Etappen des Lebenszyklus des Produkts integriert sein muss, auch wenn die Rekursionen der Ausrüstung begrenzt sind.
In diesem Kontext die Figur CTO Die Verantwortlichen der Techniker legen eine Papierklammer fest, sobald die Kosten der Pakete unter Berücksichtigung von Fehlern gelöst werden, da sie die Aktualisierungen validieren und die Kontrollen anwenden, bevor sie die Codes enornos vernünftigerweise löschen.
Medidas prácticas para mitigar attaques ähnelt
Vor einem Szenario, in dem die Kampagnen wie Shai-Hulud wiederholt werden könnten, ist es von entscheidender Bedeutung, dass Gründer und verantwortliche Techniker eine Reihe konkreter Maßnahmen zur Reduzierung des Risikos übernehmen. Eine der ersten Verteidigungslinien besteht aus Überprüfen Sie regelmäßig die Abhängigkeiten, Revisando especialmente los cambios en archives package.json und die mit der Installation oder Konstruktion verbundenen Skripte.
Darüber hinaus ist die potenzielle Gefahr bei der Filtrierung von Anmeldedaten grundsätzlich begrenzt. Para ello, es ist empfehlenswert Reduzieren Sie den Zugriff auf Token Wenn Sie die Berechtigungen aufteilen, müssen Sie vermeiden, dass ein einziger Berechtigungsnachweis den Zugang zu erweiterten Infrastrukturabschnitten ermöglicht. Asimismo, conviene mantener mantener lasvariables de entorno most sensibles de los publicos or gestionados por terceros.
Im Rahmen der Automatisierung müssen Sie die Kapazitäten der von Ihnen entwickelten Plattformen nutzen. Konfigurierbar Sicherheitswarnungen bei GitHub Actions Und in anderen CI/CD-Systemen wurden ungewöhnliche Räume, wie unbefugte Befehle oder Verbindungen aufgespürt, weil die Herren desillusioniert waren und eine Exfiltrationsabsicht erkennen ließen.
Darüber hinaus sind viele Organisationen damit beschäftigt, spezielle Werkzeuge in die Sicherheit der Suministro-Kette einzubauen, als Lösungen für die Suche nach Abhängigkeiten Snyk o HelixGuard. Diese Hersteller können Pakete mit historischen Problemen identifizieren, Versionen wurden kompromittiert oder von ihnen erstellt, bevor sie mit der Produktion beauftragt wurden.
Letztlich wird eine kontrollierte Aktualisierungspolitik und eine transparente Form der Kommunikation mit der Gemeinschaft eingeführt, und die Lieferanten der Werkzeuge werden zu einem entscheidenden Ergebnis führen. Kompromittierungsindikatoren vergleichen, berichten über so spezifische Pakete und Zusammenarbeit bei der Identifizierung ähnlicher Kampagnen, die das Ökosystem in seiner unmittelbaren Reaktion mit dem Bürgermeister vor der nächsten Zukunft unterstützen könnten.
Der Fall, in dem Shai-Hulud dargestellt wurde, war, dass die Angreifer ihre Taktiken ausgefeilt hatten, um sie in kriminelle Prozesse einzuschleusen. Comprender como se explotó la cadena de suministro de npm, Das heißt, dass die Art der Information, die Sie benötigen, und die Schwächen, die Sie erhalten, wenn Sie Ihre Praxis verstärken und das automatische Vertrauen in Abhängigkeit von der Außenwelt überwachen. Die integrierte Sicherheitssteuerung in jeder Phase des Lebenszyklus der Software erfordert eine Umstellung auf eine strategisch höhere Priorität als eine optionale Empfehlung.
