Версия вредоносного ПО Shai-Hulud, которая значительно эволюционировала и теперь называется Sha1-Hulud, была обнаружена в более чем 800 пакетах. Новая модификация получила постоянный бєкдор-доступ через скомпрометированные GitHub Actions runners, а также расширенные возможности похищения учетных данных в облачных сервисах. Эта версия демонстрирует заметный рост сложности атак на цепочку поставок, так как позволяет злоумышленникам сохранять длительный доступ к рабочим станциям разработчиков и CI/CD-сред даже после обнаружения начального этапа компрометации.
Атака коснулась пакетов, поддерживаемых известными организациями: PostHog (@posthog/siphash), ENS Domains (пакеты @ensdomains/, в том числе ensjs, ens-contracts и react-ens-address) и Zapier (пакеты @zapier/ и инструменты zapier-platform-*). Последовательные версии пакетов Zapier (например, 18.0.2 → 18.0.3 → 18.0.4) показывают, что вредоносный код распространялся автоматически и регулярно переиздавал зараженные пакеты.
Эволюция после атаки Shai-Hulud в сентябре 2025 года
Предыдущая атака в сентябре 2025 года была сосредоточена преимущественно на похищении учетных данных и самораспространении. Новая версия получила ряд опасных возможностей, существенно изменяющих характер угрозы:
Постоянный удаленный доступ. Злоумышленники разворачивают собственные GitHub Actions runners на зараженных машинах и получают возможность выполнять команды от имени системы.
Повторное использование токенов. Вредоносное ПО ищет похищенные ранее GitHub-токены и повторно использует их, даже если основные учетные данные уже отозваны.
Сбор секретов в разных облачных средах. Вредоносное ПО собирает учетные данные с AWS, GCP и Azure, в том числе проверяет хранилища секретов в 17 регионах AWS.
Эксплуатация Azure DevOps. Атака включает в себя повышение привилегий и обходы сетевых ограничений в Linux-средах Azure DevOps.
Деструктивный аварийный механизм. Если похищение учетных данных не удается, вредоносное ПО запускает уничтожение данных (вероятно, чтобы усложнить дальнейшее расследование).
Подробный технический анализ атаки доступен по ссылке.
Вывод
Обновленный вариант Shai-Hulud демонстрирует существенное повышение уровня атак на цепь снабжения в экосистеме npm. Сочетание постоянного бэкдор-доступа, масштабного сбора облачных учетных данных и автоматического распространения зараженных пакетов формирует серьезную и сложную угрозу. Она способна сохранять длительный доступ к скомпрометированным системам и быстро распространяться экосистемой.
Многие пользователи используют функцию “minimum release age” в своих менеджерах пакетов, а Mend Renovate смягчает последствия этого инцидента, не загружая пораженные пакеты.
