- Mehr als 300 NPM-Pakete wurden in einer Schadsoftware-Kampagne wie Shai-Hulud geändert.
- Die injizierten Skripte werden in package.json gespeichert, um Token und Geheimnisse mehrerer Cloud-Plattformen auszutauschen.
- Der Zugriff auf GitHub-Aktionen wird genehmigt, um den Zugriff zu verbreiten und Daten zu extrahieren, ohne die Aufmerksamkeit auf sich zu ziehen.
- Die technologischen Start-ups müssen Abhängigkeitsprüfungen durchführen, Tokenprivilegien begrenzen und Sicherheitslösungen für die Lieferkette einführen.
In den letzten Tagen hat die Gemeinschaft von Desarrollo Entzücken über eine Schadsoftware-Kampagne gesehen, die ins Visier genommen werden konnte cadena de suministro de npm. Unter dem Namen Shai-Hulud wurde er von Paketwissenschaftlern infiltriert und dachte über den zerbrechlichen Rand nach, der sich auf Open-Source-Software-Ökosysteme verlassen könnte, wenn er zu Schadenspunkten explodiert.
Da es sich um einen Zwischenfall handelte, hat Shai-Hulud das demonstriert un solo vector de compromiso Das NPM-Ökosystem kann in der Folge Start-ups, Unternehmen aus Open-Source-Produkten und Open-Source-Projekten beeindrucken. Die Episode wurde als Aufzeichnung für die Abhängigkeiten bereitgestellt, die automatisch in den CI/CD-Pipelines installiert werden mussten, und konnte an einer Eingangstür für die Filterung von Zugangsdaten konvertiert werden, und der Zugang zu kritischen Infrastrukturen war nicht autorisiert.
Ursprung der Shai-Hulud-Kampagne und Abschluss des Kompromisses
Die Kampagne wurde am 24. November 2025 veröffentlicht, sobald die Sicherheitsausrüstung da war HelixGuard Erkennen Sie einen ungewöhnlichen Benutzer in mehreren Paketen, die in der NPM-Registrierung gespeichert sind. Die erste Untersuchung enthüllte mehr 300 Pakete npm Habían sido alterados de forma böswillig, all ellos formando parte de lo que que posteriormente se bautizó as the attack of Shai-Hulud.
Nach der technischen Analyse sind diese Pakete kompromittiert, die sich an allgemeine Projekte orientieren, die als Werkzeuge dienen, die sie integrieren sollen Entornos dearrollo y automatización. Durch die Art der Bibliotheksbeeinträchtigung steigt die Wahrscheinlichkeit, dass Start-ups und Technologieunternehmen bestimmte Anforderungen an ihre Konstruktions- und Entwicklungssysteme stellen.
Ein besonderes Anliegen ist, dass der böswillige Code so kompliziert ist, dass es schwierig ist, einen einfachen Blick darauf zu werfen. Viele Menschen können das Problem nur danach lösen HelixGuard publicara Ihre Ankündigung und Überprüfung Ihrer Protokolle und Pipelines mit größerer Sicherheit.
Technischer Mechanismus zum Zugriff auf package.json
Im Kern des Angriffs wurde Shai-Hulud mit der Manipulation der Archive konfrontiert paket.json de los paquetes afectados. Um den Hauptcode zu begrenzen, müssen die Angreifer eingefügt werden Skripte von Uscados In den Skript-Feldern dieser Konfigurationsarchive muss bestätigt werden, dass NPM als Teil der Installationszyklen ausgegeben wird, testen oder erstellen.
Diese Skripte haben kein Ergebnis gezeigt, da der Inhalt bereits vorhanden ist Ofuscado Vermitteln Sie Techniken wie die Verkettung von Ketten, die Codierung auf Base64 oder die Verwendung der Anzahl der Variablen, die Sie beschreiben möchten. Das Ergebnis ist, dass nach der Installation oder Aktualisierung eines infizierten Pakets automatisch ein Codestück ausgeworfen wird, das den Vorgang einleitet sinnvolle Informationsspeicherung.
Das böswillige Verhalten konzentriert sich darauf, die Dateien zu übertragen, damit diese Skripte zur Lokalisierung ausgegeben werden können tokens, claves y secretos Es werden Zugriffsvariablen, Konfigurationsdateien oder zeitliche Anmeldedaten angezeigt. Zu den Zielen gehören auch die Anmeldeinformationen von Unternehmen npm, AWS, GCP und Azure, sowie andere Dienstleistungen, die Sie im Zusammenhang mit der Integration und der kontinuierlichen Bereitstellung nutzen müssen.
Una vez repilados, los datas eran empaquetados y enviados a externe Server Controlados por los atacantes. Diese Exfiltration ist aus formaler Sicht still und beabsichtigt, den böswilligen Verkehr bei der Wiederherstellung rechtmäßiger Petitionen für den Bau und die Bereitstellung von Pipelines zu verbergen, um die Wahrscheinlichkeit einer vorübergehenden Entdeckung zu minimieren.
Nutzung von GitHub-Aktionen und CI/CD-Flügen
Durch die Änderung der NPM-Pakete bestätigte Shai-Hulud die Beliebtheit GitHub-Aktionen Als Automatisierungsplattform. Viele von ihnen betroffene Projekte wurden zu Testzwecken erstellt, Builds und Downloads wurden durch definierte Arbeitsabläufe in Repositorien auf GitHub erstellt, die einen zusätzlichen Vektor für die Propagierung und das Verborgenen der Quelle anbieten.
In der Praxis, wenn eine Pipeline, die eine komprimierte Packung verbraucht, auf den Markt kommt, werden die bereitgestellten Skripte aus dem Entorno ausgeworfen GitHub-Aktionen. Daher kann die Malware leere Variablen verwenden, um sie vor Registrierungen, Cloud-Plattformen oder Terceros-Diensten zu authentifizieren, die Teil des Desarrollo- und Deployment-Prozesses sind.
Die Verwendung von GitHub-Aktionen als Kanal für die Datenexfiltration ist besonders wirksam, da der Verkehr aufgrund dieser großen Anzahl von Benutzern einen Teil des normalen Arbeitsflusses in Betracht zieht. Es ist eine normale Arbeitserleichterung, die die Umwelt erleichtert tokens y secretos robados Ein externer Server steht nicht zur Verfügung und wird sofort und in vielen Einrichtungen bereitgestellt.
Ferner die Automatisierung Die Merkmale der CI/CD-Pipelines bedeuten, dass sie bei der Aktualisierung einer böswilligen Abhängigkeit von der Form einer wiederholten Aussendung des böswilligen Codes in verschiedenen Entornos abgehalten werden können: aus Entornos von Prüfungen, die vor einer Produktion durchgeführt wurden. Diese Kombination aus Automatisierung und Vertrauen in die Abhängigkeiten von Dritten besteht darin, dass sie als Shai-Hulud in einer von der Akkorde komplizierten Situation zu Angriffen übergegangen ist.
Potenzial für Startups und Produktausrüstung
Die Technologie-Startups Bei diesem Vorfall wurden die meisten Profile veröffentlicht. Aus diesem Grund arbeiten diese Mitarbeiter intensiv an Open-Source-Komponenten, um die Time-to-Market zu verkürzen. Dies bedeutet, dass in ihren Projekten weiterhin neue Bibliotheken und Tools für die Bereitstellung integriert werden müssen.
Im Zusammenhang mit der ersten Geschwindigkeit gibt es keinen formalisierten Prozess auditoría de dependencias, Sie müssen die in den Dateien wie package.json eingeführten Änderungen im Detail überprüfen, sobald die Versionen aktualisiert werden. Dies ist eine Art Dinámica-Kampagne, bei der die Kampagnen wie Shai-Hulud sich leichter in den Desarroll-Zyklus einschleichen und die Aktivitäten während einer längeren Zeit vor der Erkennung dauerhaft infiltrieren können.
Wenn Schadsoftware Zugang zu Tokens, Infrastrukturschlüsseln oder Anmeldedaten für Cloud-Dienste erhält, kann die Auswirkung aus einfachen Informationsverlusten resultieren, wenn die Dienste während der Produktion unterbrochen werden. Im schlimmsten Szenario könnten die Atacante-Angreifer ihre Zugänge prüfen, um spätere Angriffe abzuwehren Endnutzer oder gegen andere Teile der Infrastruktur des Startup-Unternehmens.
Es liegt jedoch nicht daran, dass in Organisationen mit begrenzten Rekursen ein Zwischenfall von dieser Art in die Tat umgesetzt werden kann Reputationsverlust, Kosten für Antwort und Abhilfe, einschließlich Probleme aufgrund der Normierung, wenn sie von persönlichen Daten oder vorgeschriebenen Informationen betroffen sind. In diesem Fall hat Shai-Hulud seine Aufmerksamkeit auf viele Gründer und CTOs gelenkt, die sich für die Umsetzung politischer Maßnahmen zur strengeren Sicherheit einsetzen mussten.
Gute praktische und defensive Empfehlungen für Gründer und CTOs
Um die Angriffsfläche vor den Kampagnen zu verringern, stimmen unterschiedliche Sicherheitsausrüstungen und eine Reihe medizinischer Prioritäten überein. La primera de ellas besteht aus Überprüfen Sie regelmäßig die Abhängigkeiten, so direkt wie Transitivas, überprüfen Sie insbesondere die Änderungen und die Archive package.json, sobald Sie die Pakete aktualisieren.
Andere Verteidigungslinien sind auf maximale Beschränkung beschränkt alcance de los tokens Wird in Pipelines und Automatisierungssystemen eingesetzt. In der Praxis ist es wichtig, dass Sie sich nicht mit übertriebenen Privilegien auf öffentlichen Verkehrsmitteln oder in Bereichen auf der Terz befassen und sich für eine begrenzte Aufenthaltsdauer oder eine begrenzte Aufenthaltserlaubnis entscheiden, sobald dies möglich ist.
Sie können auch die Funktion aktivieren und aktivieren Sicherheitswarnungen auf Plattformen wie GitHub Actions. Die Kombination mit speziellen Werkzeugen für die Analyse der Lieferkette – darunter Lösungen wie Snyk oder HelixGuard – ermöglicht die Erkennung von Betriebsstörungen, Sicherheitslücken oder Geschäftskunden, die das Vorhandensein böswilliger Codes anzeigen können.
Die regelmäßige Aktualisierung der Abhängigkeiten von Kritikern und die anschließende Überprüfung der Empfehlungen der Open-Source-Community können dazu führen, dass der Unterschied schnell gemildert oder das Problem behoben wird, sobald der Tag beträchtlich ist. Die Transparenz zur Stunde comunicar vulnerabilidades Wir arbeiten mit anderen Teams zusammen und tragen dazu bei, den Lebenszyklus der Kampagnen wie Shai-Hulud zu begleiten.
Im Endeffekt ist die Idee, die sie haben, nur in die Kultur der Organisation eingebunden Sicherheit der Lieferkette Es handelt sich nicht um eine Ergänzung, sondern nur um die Gestaltung des Produkts. Wenden Sie sich an die Klarstellung der Politik, Überarbeitungen der Zentralcodes in Abhängigkeiten und eine grundlegende Bildung in dieser Art und Weise, dass die Ausrüstung vollständig mit den erforderlichen tatsächlichen Schutzmaßnahmen ausgestattet ist.
Shai-Hulud enthüllt die Zukunft der Lieferkette
Die Episode von Shai-Hulud ist klar, dass sie los ist Angriffe auf die Software-Suministrationskette Kein Grund zur Sorge, es besteht immer noch die Tendenz, dass die Ingenieursausrüstung sich auf dem Weg zum großen Platz befindet. Jedes neue Porta-Lecciones-Portfolio wird als Beweis für die Vertrauensbeziehungen zwischen Entwicklern, Repositorien und kontinuierlichen Integrationsdiensten verwendet.
In diesem Zusammenhang ist das NPM-Ökosystem zu einem besonders attraktiven Ziel geworden, da es für die Entwicklung von Webanwendungen, Backend-Diensten und Automatisierungsfunktionen wichtig ist. Die Kombination von millones de paquetes, ständige Aktualisierungen und eine zunehmende Akzeptanz, die aufgrund der schwierigen Situation schnell in ein großes Problem umgewandelt werden konnten.
Vorfälle, die durch die Analyse verursacht wurden, zeigen, dass die Verantwortung für den Schutz der Abfolge von Ereignissen sich zwischen mehreren Akteuren abspielt: ab ihnen mantenedores de paquetes, Sie müssen auf Zugriffe und Veröffentlichungen achten, bis die Benutzer fertig sind, und Sie müssen Sicherheitskontrollen durchführen, bevor Sie neue Abhängigkeiten zu Ihren Projekten hinzufügen.
Da die Organisationen von Cloud-Plattformen und automatisierten Pipelines abhängig sind, ist es immer wichtiger, Werkzeuge und Prozesse zu übernehmen, die sie umsetzen müssen Sicherheit des Desarrollo-Fahrrads In einem Element, das medizinisch und überwachbar ist, und nicht allein in einer abstrakten Beschäftigung, die über einen medizinischen Vorfall revidiert wird.
Am Ende der Praxis hat die Erfahrung mit Shai-Hulud dazu beigetragen, dass viele Geräte ihre Arbeitsflüsse in npm, GitHub Actions und Cloud-Anbietern bewerten und so anpassen, dass sie besser sind Protokolle Sie müssen die Geheimnisse in jedem Abschnitt der Pipeline neu bestimmen.
Der als Shai-Hulud gebaute Angriff wurde als eine Empfehlung für die Technologiegemeinschaft in Bezug auf die Gefährdung, die auftreten könnte, festgestellt cadena de suministro de npm Wenn es Abhängigkeiten von überwachten, automatisierten Pipelines und Geheimnissen mit erweiterten Privilegien gibt. Die Antwort darauf, dass vor Kurzem Start-ups, konsolidierte Unternehmen und Open-Source-Projekte übernommen wurden – Auditoren, Zertifizierungsstellen und die Bereitstellung von Spezialwerkzeugen – sind wichtig, damit ähnliche Kampagnen bis zu mehr Barreras auftauchen und nur wenig Spielraum haben, um in die Zukunft zu gelangen.
