शाई-हुलुद वर्म एनपीएम पॅकेजेसना संक्रमित करते: पुरवठा साखळी घटनेचा सखोल आढावा

शेवटचे अद्यतनः 09/25/2025
लेखक: C SourceTrail
  • शेकडो npm पॅकेजेस Shai-Hulud नावाच्या एका स्वयं-प्रतिकृती वर्ममुळे धोक्यात आल्या, ज्यामुळे GitHub ने ५००+ दूषित आवृत्त्या काढून टाकल्या.
  • हे मालवेअर गुपिते (npm टोकन, GitHub PATs, क्लाउड की) चोरते आणि पीडितांच्या प्रकाशन अधिकारांचा वापर करून संक्रमित पॅकेजेस पुन्हा प्रकाशित करते.
  • लिनक्स आणि मॅकओएस लक्ष्यीकरण, ट्रफलहॉगचा गैरवापर आणि डेटा बाहेर काढणारा गिटहब अॅक्शन वर्कफ्लो याकडे पुरावे निर्देश करतात.
  • तात्काळ पावले: टोकन फिरवा, ऑडिट अवलंबित्वे आणि GitHub रिपो, MFA/2FA लागू करा आणि bundle.js आणि webhook.site ट्रॅफिकसह IoC चा शोध घ्या.

शाई-हुलुद एनपीएम अळीचा हल्ला

जावास्क्रिप्ट जगात आणखी एक पुरवठा-साखळी भीती म्हणून सुरू झालेली घटना आता एनपीएम इकोसिस्टमवर परिणाम करणाऱ्या मोठ्या घटनेत रूपांतरित झाली आहे. अनेक स्त्रोतांवरील अहवाल स्व-प्रसारित मालवेअर स्ट्रेनची पुष्टी करतात, शाई-हुलुद म्हणून ट्रॅक केलेले, जे डेव्हलपर क्रेडेन्शियल्सशी तडजोड करते, कोड उघड करते आणि संसर्ग पसरवत राहण्यासाठी दूषित पॅकेजेस पुन्हा प्रकाशित करते.

स्रोतानुसार आकडे वेगवेगळे असले तरी, एकमत स्पष्ट आहे: आम्ही हाताळत आहोत शेकडो विषारी पदार्थ सोडले, ज्यामध्ये आठवड्यातून लाखो वेळा डाउनलोड होणारी व्यापकपणे वापरली जाणारी लायब्ररी समाविष्ट आहे. प्रसार रोखण्यासाठी GitHub ने 500 हून अधिक तडजोड केलेल्या आवृत्त्या काढून टाकल्या आहेत आणि जगभरातील सुरक्षा पथके विकासकांना क्रेडेन्शियल्स फिरवण्यास आणि घुसखोरीच्या सुगावांसाठी त्यांच्या रिपो आणि पाइपलाइनमधून तपासणी करण्यास उद्युक्त करत आहेत.

काय झाले आणि का ते महत्त्वाचे आहे

तपासात असे दिसून आले आहे की ऑपरेशन कदाचित यापासून सुरू झाले असावे क्रेडेन्शियल-कापणी आमिषे स्पूफिंग एनपीएम, देखभालकर्त्यांना MFA सेटिंग्ज "अपडेट" करण्यास उद्युक्त करत. हातात प्रवेश असल्याने, धमकी देणाऱ्याने एक वर्म तैनात केला जो इंस्टॉल केल्यानंतर धावतो, गुपिते शोधतो आणि पीडिताच्या ओळखीखाली संक्रमित बिल्ड पुन्हा प्रकाशित करतो - विश्वासू देखभालकर्त्यांना हल्ल्याच्या अॅम्प्लिफायरमध्ये बदलतो.

शाई-हुलुद दोन धोकादायक कल्पना एकत्र करतात: स्वयंचलित प्रसार आणि गुपिते चोरी. ते पॅकेजेसच्या नवीन आवृत्त्या प्रकाशित करण्यासाठी चोरी केलेल्या npm टोकन्सचा गैरवापर करते आणि डेटा बाजूला हलविण्यासाठी आणि एक्सफिल्टरेट करण्यासाठी GitHub टोकन्स आणि क्लाउड की (AWS, GCP, Azure) चा वापर करते. ही जोडी ब्लास्ट रेडियसला सुपरचार्ज करते, ज्यामुळे असंख्य डाउनस्ट्रीम वापरकर्त्यांमध्ये तडजोड होऊ शकते.

लक्ष्ये युनिक्ससारख्या प्रणालींकडे वळलेली दिसतात. विश्लेषणात असे नमूद केले आहे की बहुतेक Linux आणि macOS वर दुर्भावनापूर्ण लॉजिक कार्यान्वित होतेपर्यावरणीय तपासणीवर आधारित, जरी रहस्ये शोधण्याचा टप्पा (विशेषतः ट्रफलहॉगसह) अधिक व्यापकपणे येऊ शकतो. त्या फोकसमुळे वर्मचा ठसा कमी झाला परंतु तरीही डेव्हलपर मशीन्सची विस्तृत श्रेणी उघड झाली.

लोकप्रिय समुदाय मॉड्यूलसह ​​अनेक प्रसिद्ध संस्थांकडून आलेल्या पॅकेजेसवर परिणाम झाला. एका हाय-प्रोफाइल उदाहरणात, @ctrl/टिनीकलर आठवड्यातून लाखो वेळा डाउनलोड केले जाणारे पॅकेज वादात सापडले, ज्यामुळे संसर्ग अवलंबित्वाच्या आलेखात किती खोलवर जाऊ शकतो हे दिसून आले.

npm पॅकेजेस तडजोड चित्रण

जंत कसे काम करते (तांत्रिक बिघाड)

कोर पेलोड एका मोठ्या जावास्क्रिप्ट फाइलच्या स्वरूपात येतो, ज्याला सामान्यतः म्हणतात बंडल.जेएस (निरीक्षण केलेल्या नमुन्यांमध्ये ३ MB पेक्षा जास्त). हे package.json मध्ये जोडलेल्या पोस्टइन्स्टॉल हुकद्वारे कार्यान्वित होते, याचा अर्थ वापरकर्त्याने npm वरून पॅकेज स्थापित केल्यानंतर लगेचच दुर्भावनापूर्ण कोड स्वयंचलितपणे चालतो.

bundle.js च्या आत मॉड्यूल आहेत GitHub API परस्परसंवाद, क्लाउड SDKs (AWS/GCP), नेटवर्किंग मदतनीस आणि गुप्त शोधासाठी ट्रफलहॉग चालवण्यासाठी रूटीन. स्क्रिप्ट OS ची यादी करते, एक npm टोकन शोधते आणि वैध GitHub टोकन तपासते; जर काहीही सापडले नाही, तर ते बेल करते—अन्यथा ते एक्सफिल्ट्रेशन आणि प्रतिकृती सुरू करते.

एक लक्षणीय गोष्ट: काही संक्रमित पॅकेजेसमध्ये नावाचा संग्रह होता पॅकेज.टार नेहमीच्या नामकरण पद्धतीऐवजी, संशोधकांना तडजोड झालेल्या कलाकृतींना ध्वजांकित करण्यास मदत करणारा एक प्रकार. विश्लेषकांनी प्रीइंस्टॉल हुक म्हणून अंमलात आणलेला एक प्रकार देखील पाहिला; एक सुरुवातीचा प्रसंग उद्धृत केला गेला एनजीएक्स-बूटस्ट्रॅप १८.१.४, जे प्रसारात सुरुवातीचे बीचहेड म्हणून काम केले असावे.

एकदा चालू झाल्यानंतर, मालवेअर npm शोध API द्वारे डेव्हलपरच्या सर्वाधिक डाउनलोड केलेल्या पॅकेजेसची गणना करतो, प्रत्येक टारबॉल अनपॅक करतो, bundle.js टाकते, पोस्टइन्स्टॉल कमांड इंजेक्ट करते, आवृत्ती बंप करते आणि पीडिताच्या टोकनसह npm वर पुन्हा प्रकाशित करते. हे डेव्हलपरच्या पोर्टफोलिओला पुढील संसर्गासाठी एक वाहन बनवते.

सिक्रेट्स एक्सफिल्ट्रेशन आणि गिटहब वर्कफ्लो

क्रेडेन्शियल हार्वेस्टिंगसाठी, शाई-हुलूड एनपीएम टोकन्स, गिटहब पर्सनल अॅक्सेस टोकन्स आणि क्लाउड API की (AWS, GCP, Azure). त्यानंतर ते पीडिताच्या खात्याखाली 'Shai‑Hulud' नावाचा एक सार्वजनिक GitHub रेपो तयार करते, ज्यामध्ये चोरी झालेल्या गुपिते असलेली डेटा फाइल (उदा. data.json) असते - ती प्रभावीपणे जगासमोर उघड करते.

त्याच वेळी, संशोधकांनी गिटहब अॅक्शन्सचा एक धूर्त दृष्टिकोन पाहिला: किडा 'शाई-हुलुद' नावाची शाखा तयार करते. प्रवेशयोग्य रिपॉझिटरीजमध्ये प्रवेश करते आणि वर्कफ्लो फाइल (shai‑hulud‑workflow.yml) पुश करते. पुशवर ट्रिगर केलेले, वर्कफ्लो गुपिते गोळा करते आणि त्यांना आक्रमणकर्त्याच्या पायाभूत सुविधांमध्ये पाठवते, कधीकधी नंतर दुहेरी बेस६४ एन्कोडिंग प्रवासात असलेली सामग्री गोंधळात टाकण्यासाठी.

स्थलांतर स्क्रिप्टचे पुरावे देखील आहेत जे क्लोन खाजगी/अंतर्गत रिपो पीडित व्यक्ती ज्या संस्थांमध्ये प्रवेश करू शकते, त्यांना वापरकर्त्याच्या खात्यात सार्वजनिक आरसे म्हणून पुन्हा होस्ट करणे. खाजगी प्रकल्पांमधून स्वयंचलित स्त्रोत-कोड चोरी करणे हे ध्येय असल्याचे दिसून येते, ज्यामुळे प्रभावित संस्थांवर दबाव वाढतो.

अनेक अहवालांमध्ये बॅश स्क्रिप्ट्समध्ये (टिप्पण्या आणि अगदी इमोजी) एआय सहाय्याच्या कलाकृतींची नोंद आहे, ज्यामुळे हल्लेखोराने कदाचित विकासाला गती देण्यासाठी एलएलएम मालवेअरच्या ऑटोमेशन घटकांचे.

व्याप्ती आणि उल्लेखनीय पॅकेजेस

समन्वित केलेल्या टेकडाउनमधून, GitHub काढून टाकले ५००+ धोक्यात आलेल्या आवृत्त्या अळीचा प्रसार रोखण्यासाठी. अचूक एकूण संख्या विकसित होत असताना, यादीमध्ये असंख्य परिसंस्था आणि संस्थांचा समावेश आहे, ज्याचा परिणाम सक्रिय विंडो दरम्यान अपडेट केलेल्या विकासकांवर होतो.

वारंवार उद्धृत केलेल्या पॅकेजेस आणि नेमस्पेसमध्ये: @ctrl/टिनीकलर (आठवड्यातून लाखो डाउनलोड), अनेक @क्राउडस्ट्राइक/* घटक (जसे की कमिटलिंट आणि UI लायब्ररी), आणि समुदाय मॉड्यूल्सची विस्तृत श्रेणी ज्यामध्ये एनजीएक्स-बूटस्ट्रॅप, ng2-फाइल-अपलोड, एनजीएक्स-टोस्टर, आणि बरेच काही. क्राउडस्ट्राइकने सूचित केले की त्याचा मुख्य प्लॅटफॉर्म अप्रभावित राहिला आहे आणि तो चाव्या त्वरित फिरवल्या गेल्या. सार्वजनिक नोंदणीमध्ये दुर्भावनापूर्ण नोंदी आढळल्यानंतर.

  • लाटेशी जोडलेली उदाहरणे: @ctrl/tinycolor; @crowdstrike/commitlint; @crowdstrike/foundry‑js; @crowdstrike/glide‑core; ngx‑bootstrap; ng2‑file‑upload; ngx‑toastr; @nativescript‑community/*; @teselagen/*; @things‑factory/*; आणि इतर.
  • संशोधकांनी हे देखील पाहिले की प्रत्येक पॅकेजमध्ये अनेक दुर्भावनापूर्ण आवृत्त्या काही प्रकरणांमध्ये - कदाचित एकाच प्रकल्पातील अनेक देखभालकर्त्यांच्या खात्यांमधून जंत पसरल्यामुळे.

प्लॅटफॉर्म प्रतिसाद आणि सुरक्षा बदल

गिटहबच्या तात्काळ कृतींचा समावेश आहे ज्ञात वाईट पॅकेजेस साफ करणे npm कडून आणि तडजोड निर्देशकांशी जुळणारे अपलोड ब्लॉक करणे (IoCs). कंपनी अधिक कठोर प्रकाशन नियंत्रणे देखील आणत आहे: स्थानिक प्रकाशनासाठी अनिवार्य 2FA, कमी कालावधीचे ग्रॅन्युलर टोकन (उदा., सात दिवस), आणि व्यापक स्वीकार विश्वसनीय प्रकाशन दीर्घकालीन रहस्यांवर अवलंबून राहणे कमी करण्यासाठी.

आगामी बदलांमुळे लेगसी क्लासिक टोकन आणि प्रकाशनासाठी TOTP-आधारित 2FA कमी होतील, टोकन प्रकाशनास परवानगी न देणे डीफॉल्ट, आणि विश्वसनीय प्रकाशनासाठी प्रदात्यांचा विस्तार करा. काही वर्कफ्लोमध्ये समायोजन आवश्यक असेल हे ओळखून, गिटहबने दस्तऐवजीकरण आणि स्थलांतर मार्गदर्शकांसह हळूहळू रोलआउट करण्याचे संकेत दिले आहेत.

उद्योगातील (युनिट ४२, कॅस्परस्की, ट्रेंड मायक्रो आणि इतरांसह) धोक्याची माहिती देणारी आणि घटना-प्रतिसाद देणारी पथके आहेत जारी केलेले मार्गदर्शन आणि शोध संरक्षण अद्यतनांना गती देण्यासाठी समवयस्क आणि सहयोगींसह आयओसी सामायिक करताना.

आत्ताच धोका कसा कमी करायचा

अलीकडेच npm पॅकेजेस स्थापित करणाऱ्या कोणत्याही डेव्हलपर मशीनने गुपिते लीक केली असतील या गृहीतकावर त्वरित कार्य करा. प्राधान्य म्हणजे क्रेडेन्शियल्सचा गैरवापर समाविष्ट आहे, चिकाटी थांबवा आणि बिल्ड चेनमधून दूषित अवलंबित्वे काढून टाका.

  • npm टोकन, GitHub PATs/SSH की आणि क्लाउड क्रेडेन्शियल्स (AWS/GCP/Azure) ताबडतोब फिरवा; डेव्हलपर होस्टवर असलेल्या सर्व गुपिते तडजोड केलेल्या गोष्टींचा विचार करा.
  • package‑lock.json/yarn.lock द्वारे अवलंबित्वांचे ऑडिट करा; ज्ञात तडजोड केलेल्या आवृत्त्या काढून टाका किंवा पिन करा; स्वच्छ स्त्रोतांमधून पुन्हा स्थापित करा.
  • GitHub आणि npm वर MFA/2FA लागू करा; शक्य असेल तेथे विश्वसनीय प्रकाशनाकडे जा आणि दीर्घकाळ टिकणारे टोकन लूपमधून बाहेर काढा.
  • 'शाई-हुलुद' नावाच्या अनपेक्षित सार्वजनिक रिपो, अपरिचित शाखा किंवा वर्कफ्लो आणि असामान्य अॅक्शन रनसाठी गिटहबची तपासणी करा.
  • कमीत कमी विशेषाधिकार असलेल्या RBAC, आर्टिफॅक्ट स्वाक्षरी/पडताळणी आणि सतत SCA स्कॅनिंगसह CI/CD कडक करा; उपचार करा व्यवस्थापित जोखीम म्हणून मुक्त-स्रोत वापर.

धोका शोधण्याच्या सूचना (उच्च सिग्नल तपासणी)

आउटबाउंड कनेक्शन शोधा वेबहूक.साईट डोमेन, विशेषतः अनेक अहवालांमध्ये आढळलेला URI. एंडपॉइंट्सवर, उपस्थिती शोधा बंडल.जेएस तात्पुरत्या किंवा पॅकेज निर्देशिकांमध्ये आणि GitHub Actions नावाच्या फाइलसाठी शाई-हुलुद-वर्कफ्लो.आयएमएल.

  • नेटवर्क टेलिमेट्री: webhook.site असलेले DNS/URL लॉग; दिसल्यास विशिष्ट पथ bb8ca5f6‑4175‑45d2‑b042‑fc9ebb8170b7 ध्वजांकित करा.
  • फाइल टेलीमेट्री: bundle.js ची निर्मिती किंवा अंमलबजावणी; Linux/macOS डेव्हलपर होस्टवर shai‑hulud‑workflow.yml ची उपस्थिती.
  • प्रक्रिया टेलीमेट्री: ट्रफलहॉगचे आवाहन जिथे अपेक्षित नाही (लक्षात ठेवा काही संस्थांमध्ये कायदेशीर वापर असू शकतो).

तडजोडीचे निर्देशक (IoCs)

तपासात आढळलेल्या फाईल आणि स्ट्रिंगच्या सुगावांमध्ये हे समाविष्ट आहे: बंडल.जेएस आणि शाई-हुलुद-वर्कफ्लो.आयएमएल, ज्यामध्ये 'शाई-हुलुद' ही अक्षरशः स्ट्रिंग शाखा, रिपो आणि वर्कफ्लोमध्ये दिसते.

  • फायली: bundle.js; shai‑hulud‑workflow.yml
  • स्ट्रिंग्ज: शाई-हुलुद; पॅकेज.टार
  • Hashes (selected): 46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09; b74caeaa75e077c99f7d44f46daaf9796a3be43ecf24f2a1fd381844669da777; dc67467a39b70d1cd4c1f7f7a459b35058163592f4a9e8fb4dffcbba98ef210c; 4b2399646573bb737c4969563303d8ee2e9ddbd1b271f1ca9e35ea78062538db; C96FBBE010DD4C5BFB801780856EC228; 78E701F42B76CCDE3F2678E548886860
  • नेटवर्क: https://webhook.site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7 (व्हेरिएंट आणि सबपाथ पाहिले गेले)

टाइमलाइन आणि चालू विश्लेषण

अहवालांमध्ये सुरुवातीचा शोध सप्टेंबर २०२५ च्या मध्यात लागला आहे, ज्यामध्ये १६-१९ सप्टेंबरच्या आसपास कमाल प्रतिबंधात्मक कारवाई. गिटहब आणि अनेक विक्रेत्यांनी संरक्षण, शोध आणि मार्गदर्शन अद्ययावत केले आहे. संस्था घटना पुनरावलोकने पूर्ण करतील आणि प्रभावित आवृत्त्यांच्या यादी विस्तृत करतील तेव्हा पुढील पूर्वलक्षी निष्कर्षांची अपेक्षा करा.

काही पुरावे असे सूचित करतात की ही घटना मागील गुप्त माहितीवर आधारित, दीर्घकाळ टिकणारे टोकन आणि कॅश्ड क्रेडेन्शियल्स महिन्यांनंतर तडजोडीच्या नवीन लाटा कशा वाढवू शकतात हे अधोरेखित करते. यामुळे टोकनचे आयुष्य कमी करण्याच्या आणि प्रकाशन मॉडेल्स स्वीकारण्याच्या प्रयत्नांना बळकटी मिळेल जे गुप्त प्रसार कमीत कमी करा.

प्रत्येक अहवाल अचूक एकूण रक्कम किंवा पहिल्या साखळीतील पॅकेजेसवर सहमत नाही, परंतु सामान्य चित्र एकसारखे आहे: अ स्वतःची प्रतिकृती बनवणारा एनपीएम वर्म ज्याने विकासकांच्या विश्वासाला आणि स्वयंचलित प्रकाशन अधिकारांना शस्त्र बनवून जलद गतीने वाढवले—केवळ मॅन्युअल पुनरावलोकनाद्वारे अनेक संघांना आढळू शकणाऱ्या जलद गतीने.

आधुनिक बिल्ड पाइपलाइन किती लवकर मालवेअरसाठी महामार्गांमध्ये बदलू शकतात हे या कार्यक्रमातून दिसून येते. By प्रमाणीकरण कडक करणेमार्गावरून दीर्घकालीन टोकन काढून टाकणे, CI/CD कडक करणे आणि IoCs साठी आक्रमकपणे शोध घेणे, संस्था आज एक्सपोजर रोखू शकतात आणि पुढील लाट अंमलात आणणे खूप कठीण बनवू शकतात.

संबंधित पोस्ट: