Shai Hulud launches second supply-chain attack

Злоумышленники запустили атаку малвари Shai Hulud 2.0 через цепочку поставок ПО, внедрив вредоносный код в open-source зависимости. Пострадавшими стали платформа автоматизации Zapier и домены Ethereum Name Service (ENS). Малварь маскируется под легитимные пакеты, позволяя красть секреты, выполнять удалённый код, сканировать уязвимости в контейнерах, IaC и облаке.

Ключевые факты: обнаружение через специализированные сканеры malware в зависимостях, SAST, DAST, CSPM и API; риски включают утечки секретов, 0-day уязвимости, misconfigurations в IaC и EOL- софте. Рекомендуется генерировать SBOM, внедрять runtime protection (WAF), AI-мониторинг и автономные пентесты для полного покрытия от IDE до продакшена. Атака подчёркивает уязвимость supply-chain, затронув fintech, healthtech и другие отрасли.

Комментарии (99)

Компрометация NPM-пакетов (PostHog, Zapier, Postman) червём Shai-Hulud: кража секретов через obfuscated JS, быстрая реакция с безопасными версиями (posthog-node 4.18.1+ и др.).
Рекомендации: PNPM вместо NPM (откл. post-install скрипты, min age релизов), контейнеризация (podman), npm ci, OIDC, vendor deps, ожидание месяцев перед апдейтами.
Критика NPM: уязвимости из-за автообновлений, множества публикаторов; призывы к стабильным стримами пакетов, Deno-подобной security и stdlib.
Дополнительно: тайпо в заголовке HN, проблемы с сайтом (статтер), секреты постятся на GitHub под "Sha1-Hulud".