Хакеры внедрили вирусы в почти 500 npm-пакетов. Под удар попали Postman, PostHog, AsynAPI и другие

24 ноября исследователи зафиксировали новую волну атаки Shai Hulud — самораспространяющегося npm-червя.

Злоумышленники внедрили вредоносный код в 492 пакета, суммарно набирающих более 132 млн загрузок в месяц. Если такой пакет устанавливает разработчик, вредонос запускается еще до завершения установки и получает доступ к его среде разработки.

Отметим, что текущая кампания стала «вторым пришествием» Shai Hulud. Злоумышленники приурочили ее к декабрьской блокировке старых npm-токенов. Атакующие явно рассчитывали успеть нанести максимальный урон до обновления безопасности.

Как работает новая версия Shai Hulud

По сравнению с атакой в сентябре, вредонос стал агрессивнее. И заметно опаснее:

• теперь он устанавливает Bun и запускает основную вредоносную логику через bun_environment.js;
• создает случайный GitHub-репозиторий и складывает туда украденные токены и ключи;
• пытается заразить до 100 пакетов, а не 20, как раньше;
• если не удается авторизоваться в GitHub или npm, вредонос стирает все файлы в домашней директории пользователя.

Внутри зараженного пакета находится setup_bun.js, который либо запускает вредонос напрямую, либо подготавливает окружение, чтобы тот мог работать.

В некоторых скомпрометированных пакетах второй файл отсутствует — исследователи считают это ошибкой самих атакующих, которая частично снизила масштаб атаки.

Кто пострадал

Под удар попали проекты AsyncAPI, PostHog, Postman, Zapier, ENS и десятки независимых разработчиков. Первые зараженные пакеты появились примерно в 6 утра по Москве, после чего атака быстро распространилась на крупные экосистемы.

Исследователи обнаружили также скомпрометированную ветку в репозитории AsyncAPI CLI — вероятно, заражение отдельных проектов шло через те же методы, что и в предыдущей атаке на Nx.

Что похищают злоумышленники

Вредонос автоматически запускает TruffleHog и ищет в системе:

• ключи GitHub и npm,
• токены облаков и CI/CD,
• пароли, API-ключи и любые другие секреты.

Если атакующие получат токены для публикации npm-пакетов или доступа к репозиториям, они могут продолжить цепочку атак и заражать новые проекты.

Что делать командам безопасности

Пока специалисты продолжают анализировать атаку, есть ряд мер, которые можно предпринять уже сейчас:

• проверить все зависимости, особенно пакеты AsyncAPI, PostHog, Postman, Zapier, ENS;
• срочно ротировать GitHub, npm и облачные ключи, использовавшиеся в процессе разработки или CI;
• искать подозрительные GitHub-репозитории с пометкой “Sha1-Hulud: The Second Coming”;
• максимально ограничить или отключить postinstall-скрипты в CI;
• зафиксировать версии зависимостей и включить обязательную MFA на npm и GitHub;
• использовать инструменты фильтрации вредоносных пакетов в цепочке поставок.

Атака продолжает развиваться — следим за обновлениями.