- Lebih dari 300 paket npm fueron dimanipulasi dalam kampanye serangan Shai-Hulud, memperkenalkan malware dalam jumlah besar.
- Kode jahat ini tersembunyi dalam package.json di tengah skrip yang digunakan untuk merampok token dan rahasia beberapa platform cloud.
- Serangan tersebut menyetujui tindakan GitHub Actions untuk menyebarkan serangan dan menyaring data ke server eksternal secara diam-diam.
- Startup dan peralatan teknis untuk mengaudit ketergantungan, mengurangi jumlah token, dan meningkatkan keamanan dalam CI/CD pipelines Anda.
Ekosistem desarrollo basado en npm y paquetes open source se ha visto sorprendido for a campaña maliciosa denominada Shai-Hulud. Episode ini menghidupkan kembali kekhawatiran tentang kelemahan yang mungkin terjadi pada kumpulan perangkat lunak ketika ada komponen yang sulit dikontrol dengan keamanan yang tidak memadai.
Pada hari-hari terakhirnya, dia keluar dari detailnya ataque a gran escala contra paquetes npm yang telah terjadi, selama suatu waktu, relatif tidak berdaya bagi banyak peralatan. Sementara Anda telah mempublikasikan lebih banyak data, Anda akan membuat skenario di desa-desa, startup, dan proyek-proyek penting yang mungkin akan mengeluarkan robot kredensial atau kompromi yang sangat besar terhadap infrastruktur Anda.
Kampanye besar: lebih dari 300 paket tanpa kompromi
Setelah analisis publikasi, kampanyenya Shai-Hulud terdeteksi pada 24 November 2025, ketika perusahaan keamanan jaringan HelixGuard mengidentifikasi aktivitas yang tidak normal pada beberapa modul dalam registrasi npm. Apa yang awalnya terjadi adalah insiden yang berakhir dengan operasi terkoordinasi yang berdampak pada lebih dari 300 paket, semuanya dimodifikasi untuk memasukkan komponen malware.
Paket-paket ini dikompromikan secara terpadu sebagai ketergantungan dalam sejumlah proyek, yang memperkuat seluruh serangan di dalamnya cadena de suministro de npm. Dalam banyak kasus, desakan penggunaan cara rutin untuk seluruh komunitas, tanpa perlu melakukan pembaruan baru, akan menyertakan kode jahat ke dalam aplikasinya.
Pemilihan paket yang berbeda memerlukan strategi yang jelas: perbesar permukaannya dan memaksimalkan kemungkinan malware tersebut menyerang dalam jumlah besar, layanan integrasi terus berlanjut dan menghilangkan produktivitas. Saat ini, kampanye ini dapat berdampak secara bersamaan pada sejumlah peralatan dan organisasi.
Bagi para startup teknologi yang bekerja dengan platform yang disesuaikan dan berjalan dengan cepat, situasi ini menimbulkan dilema yang tidak nyaman: kepercayaan yang biasa terjadi pada ekosistem open source akan dikonversi ke dalam kelas vektor untuk amenazas avanzadas kontra infrastruktur Anda.
Bagaimana fungsi Shai-Hulud di proyek
Mekanisme sentral dari serangan ini berfungsi dalam manipulasi arsip package.json dari paket yang terkena dampak. Sisipkan atacantes naskah ofuscados en secciones como scripts, menyetujui perintah yang akan dijalankan secara otomatis selama fase instalasi atau konstruksi proyek.
Skrip ini tidak hanya berisi potongan-potongan kode yang terlihat pada tampilan pertama. Diseñados dengan berbagai kemampuan penggunaan dan teknik untuk menghindari deteksi, sulit untuk melakukan revisi cepat pada repositori yang terungkap secara final. Sekali diaktifkan, Anda akan kehilangan logika sehingga memungkinkan untuk melihat dan informasi tambahan yang masuk akal dari entorno setelah mengkompilasi atau menjalankan proyek.
Tujuan utama Shai-Hulud diselundupkan token akses, kunci API, dan rahasia digunakan dalam perangkat desarrollo dan platform infrastruktur di nube. Kode jahat telah disiapkan untuk menghapus variabel dalam dan file konfigurasi, menyalin apa yang dapat Anda akses ke layanan kritis.
Ini adalah kumpulan skrip yang dimasukkan package.json hasilnya sangat berbahaya karena terintegrasi tanpa gesekan yang terlihat pada siklus hidup npm. Banyak sekali yang telah menjalankan skrip instalasi tanpa ditinjau ulang secara mendalam, dengan asumsi bahwa bagian tersebut merupakan bagian dari fungsi yang sah dari paket tersebut.
Setelah mengaktifkan proses yang berbahaya, informasi yang dikumpulkan akan diaktifkan dan dipersiapkan untuk mengirimkan kontrol infrastruktur ke target, semua yang Anda maksud adalah minimizar su huella dan riesgo de levantar peringatan keamanan suhu.
Robo de secretos en la nube dan explotación de GitHub Actions
Salah satu aspek yang paling menarik perhatian Shai-Hulud adalah kemampuan Anda untuk mencapai tujuan secara langsung. entornos cloud dan layanan desarrollo lebih banyak digunakan. Malware tidak membatasi informasi generik, karena ia menemukan kredensial khusus dan token yang terkait dengan platform seperti NPM, AWS, GCP, dan Azure.
Saat Anda mengambil token ini, Anda dapat memperoleh akses yang signifikan repositori privasi, penyimpanan, fungsi tanpa server, dan sumber daya infrastruktur, yang menghentikan gerakan ke samping, mengubah kode, menghilangkan malware, atau bahkan menyerang bagian belakang pengguna akhir dari aplikasi yang terpengaruh.
Selain itu, serangan tersebut terintegrasi dengan flue pekerjaan Tindakan GitHub, komponen kunci dalam otomatisasi pekerjaan, kompilasi, dan penghapusan. Malware ini disetujui oleh pipelines para jalankan perintah tambahan dan ekstrak data memiliki layanan eksternal, mendapat manfaat dari banyak organisasi yang percaya penuh pada aliran CI/CD dan tidak ada pemantauan secara detail sepanjang operasi yang dilakukan selama eksekusi.
Dengan menyamar di bawah pengawasan otomatis, Shai-Hulud dapat bekerja tanpa menghasilkan bukti yang buruk: eksekusi GitHub Actions terlihat seperti bagian dari fungsi normal proyek, sementara itu, di rencana berikutnya, Anda memproduksi penyaringan rahasia yang merusak infrastruktur yang ada.
Ini menggunakan saluran pipa CI/CD sebagai saluran untuk menampung ide yang mana aman dalam rangkaian suministro Anda tidak membatasi kode sumber, karena Anda juga akan menonaktifkan perangkat otomatisasi dan aliran pekerjaan yang terkait. Skrip yang berbahaya ke dalam paket npm dapat dikonversi, begitu juga dengan titik masuk ke sistem yang jauh lebih besar.
Dampaknya khusus pada startup dan peralatan teknis
itu startup teknologi Ini sangat rentan terhadap serangan-serangan ini karena ketergantungan mereka terhadap perpustakaan dan komponen-komponen open source untuk menghasilkan kecepatan tinggi dalam desarrollo. Jika Anda mengintegrasikan paket yang dikompromikan, Anda dapat melakukannya tanpa mengambil tindakan untuk menghentikan akses ke bagian infrastruktur Anda.
Ketika ada skrip seperti Shai-Hulud yang menangkap token dan rahasia, tugas tersebut tidak membatasi proyek nyata ketika Anda menggunakan paket tersebut. eso token suelen tener izin amplios untuk menghapus versi baru, akses basis data atau gestionar recursos en la nube. Dalam kasus-kasus tersebut, hanya satu rahasia penyaringan yang dapat memungkinkan serangan memerlukan layanan kritis atau manipulasi kode dalam produksi.
Selain dampak teknis, Anda harus berhati-hati dengan kemungkinan-kemungkinan yang mungkin terjadi dalam jangka waktu lama reputasi dan kepercayaan klien. Sebuah kesalahan yang diturunkan dari sebuah serangan pada rangkaian suministro dapat berdampak pada pemahaman sosial, sekaligus normatif dari gambaran startup sebelum investor dan pengguna akhir.
Banyak peralatan muda, pusat-pusat yang berjalan dengan cepat, dan fungsi baru yang lebih lambat, saat ini tidak ada proses formal yang stabil auditoria de dependencias dan gestion de riesgos. Jika Shai-Hulud bertindak seperti rekaman keamanan yang harus diintegrasikan dari awal siklus hidup produk, termasuk ketika sumber daya peralatan terbatas.
Dalam konteks ini, gambarnya adalah CTO dan mereka yang bertanggung jawab atas teknik meminta dokumen rahasia pada jam yang sama untuk menentukan bahwa sumber daya paket tersebut cukup masuk akal, karena validasi aktualisasi dan kontrol yang diterapkan sebelum mengeluarkan kode dalam lingkungan yang masuk akal.
Praktik medis untuk meringankan serangan serupa
Sebelum skenario dalam kampanye seperti Shai-Hulud dapat berulang, hal ini mengakibatkan para pendiri dan teknisi yang bertanggung jawab mengadopsi serangkaian tindakan medis yang konkret untuk mengurangi risiko tersebut. Satu dari garis pertahanan dasar terdiri dari audit bagaimana periodisasi ketergantungannya, terutama revisi perubahan dan arsip package.json dan skrip yang terkait dengan instalasi atau konstruksi.
Langkah mendasar lainnya adalah membatasi potensi dana dalam hal penyaringan kredensial. Baginya, ini direkomendasikan mengurangi jumlah token dan membagi izin, pastikan ada satu kredensial yang mengizinkan akses ke sebagian besar infrastruktur. Dengan demikian, kami akan berusaha untuk memisahkan variabel-variabel dalam lingkungan yang paling masuk akal bagi jaringan pipa publik atau yang dikelola oleh pihak lain.
Dalam upaya otomatisasi, harap setujui kapasitas propias plataforma desearrollo. Konfigurasi peringatan keamanan di GitHub Actions dan dalam sistem CI/CD lainnya, kami dapat mendeteksi hal-hal yang tidak biasa, seperti perintah yang tidak dapat dipahami atau koneksi yang menonjol dengan dominasi yang tidak diketahui yang dapat menyebabkan niat untuk mengekstraksi.
Selain itu, banyak organisasi yang bekerja dengan menggabungkan perangkat khusus dalam keamanan tingkat sumber daya manusia, seperti solusi penyelamatan ketergantungan semacam itu Snyk atau HelixGuard. Perangkat ini dapat mengidentifikasi paket dengan masalah sejarah, versi yang dikompromikan, atau pelanggan kode yang disebutkan sebelum Anda melanjutkan produksi.
Pada akhirnya, mengadopsi politik aktualisasi yang terkendali dan berkomunikasi secara transparan dengan komunitas dan dengan bukti perangkat yang menghasilkan keputusan. Membandingkan indikator kompromi, laporan paket sospechosos dan berkolaborasi dalam identifikasi kampanye serupa dapat membantu ekosistem dalam reaksi gabungan Anda dengan cepat sebelum masa depan membaik.
Jika Shai-Hulud menunjukkan bahwa serangan itu canggih dan taktiknya untuk menyusup ke dalam proses pencarian rahasia. Pahami bagaimana jika Anda mengeksploitasinya cadena de suministro de npm, jenis informasi yang Anda dapatkan dan kelemahan yang Anda setujui akan membantu memperbaiki praktik Anda dan meminta kepercayaan otomatis pada ketergantungan eksternal apa pun. Mengintegrasikan kontrol keamanan dalam setiap fase siklus hidup perangkat lunak akan mengubah strategi yang diperlukan lebih dari rekomendasi opsional.
