Shai-Hulud Returns: Over 300 NPM Packages Infected

HelixGuard — open-source фреймворк для практической защиты целостности кучи (heap integrity) в Linux с низким overhead'ом производительности. Он использует аппаратную поддержку Intel CET (Control-flow Enforcement Technology) и новую примитивную инструкцию ENDBR64 для верификации теневых метаданных кучи, предотвращая exploitation атак вроде use-after-free и buffer overflow. Фреймворк интегрируется в kernel как LKMs, обеспечивая 100% покрытие аллокаций без модификаций приложений.

Тестирование на 23 реальных уязвимостях (CVE) показало полную блокировку exploit'ов при overhead'e 2–5% в микробенчмарках и до 11% в реальных приложениях вроде SPEC CPU2017. HelixGuard превосходит существующие решения (MTE, ARMv9 MTE, FreeGuard), предлагая кросс-архитектурный дизайн для x86-64 и потенциал портирования на ARM/RISC-V. Код доступен на GitHub под MIT-лицензией для дальнейших исследований.

Комментарии (731)

Атака Shai-Hulud 2.0 на NPM: скомпрометированы пакеты PostHog, AsyncAPI, Zapier и другие; вредоносный код крадёт секреты, реплицируется и уничтожает данные при блокировке.
Рекомендации по защите: PNPM вместо NPM (отключает скрипты по умолчанию, cooldown для релизов), контейнеризация (Docker/Podman), --ignore-scripts, lockfiles, pinning зависимостей.
Критика экосистемы Node.js: частые supply-chain атаки из-за автообновлений, избыточных deps и слабой курации; призывы к альтернативам (Verdaccio, WASM) и curated пакетам.
Инструменты: сканеры (sha1-hulud-scanner), списки IOC, GitHub-логи; жертвы обновили версии, ротировали ключи.