24.11.2025
1 хв
451
Друга хвиля атаки Shai-Hulud проникла до екосистеми Maven, поширивши шкідливі пакети через npm і Java-проєкти та викравши тисячі секретів, що робить її однією з наймасштабніших атак на ланцюг постачання 2025 року.
Масштабна кампанія Shai-Hulud v2, що стартувала у вересні, вийшла за межі JavaScript-екосистеми та проникла до Maven Central. Дослідники Socket Research Team виявили пакет org.mvnpm:posthog-node:4.18.1, який містив два компоненти шкідливого ланцюга — setup_bun.js та основний бекдор bun_environment.js. Хоча PostHog не публікував цей артефакт, він був автоматично згенерований системою mvnpm, що перенесла заражені npm-пакети у Maven.
Атака спрямована на розробників і CI/CD середовища, крадучи API-ключі, токени GitHub і npm, а також хмарні облікові дані. Вона також дозволяє зловмисникам отримувати контроль над обліковими записами мейнтейнерів npm та публікувати троянізовані версії популярних бібліотек. За оцінками дослідників, компрометація зачепила понад 28 000 репозиторіїв і призвела до масового витоку 11 858 унікальних секретів, серед яких понад 2 298 залишалися дійсними станом на 24 листопада 2025 року.
Shai-Hulud v2 також отримала розширені можливості: підвищення ліміту заражень із 20 до 100, використання середовища Bun для приховування логіки, а також ексфільтрацію даних у випадково створені GitHub-репозиторії, що ускладнює відстеження.
Атака Shai–Hulud є продовженням серії інцидентів у ланцюзі постачання, які розпочалися з кампанії S1ngularity в серпні 2025 року. Зловмисники використовують CI-вразливості GitHub Actions — зокрема pull_request_target і workflow_run, які дозволяють виконувати довільний код під час перевірки запитів. Це перетворює будь-який неправильно сконфігурований репозиторій на «нульового пацієнта» для поширення шкідливого ПЗ.
Компанії AsyncAPI, PostHog і Postman належать до тих, чий CI був використаний як точка входу. Заражені бібліотеки під час встановлення активують бекдор, що підключає робочі машини як self–hosted runner у GitHub, дозволяючи зловмисникам запускати команди, викрадати секрети та заражати наступні пакети через автоматизовані пайплайни.
Shai–Hulud v2 підтверджує, що сучасний ланцюг постачання програмного забезпечення надзвичайно вразливий: достатньо одного скомпрометованого акаунта або пакета, щоб викликати каскадну атаку, що уражає тисячі проєктів. Експерти наголошують, що основна проблема — не нульові дні, а прогалини в інфраструктурі відкритих репозиторіїв і CI/CD–процесів. Розробникам рекомендують негайно ротути всі ключі, очистити залежності та посилити безпеку пайплайнів.
