Обнаружена новая волна заражений червём Shai-Hulud
3 мин
79
2
Эксперты по кибербезопасности из разных компаний рассказали о новой вредоносной кампании червя Shai-Hulud. Волна заражений затронула по разным подсчётам от 19 до 25 тысяч репозиториев GitHub. Все исследователи отмечают, что в сентябре 2025 года одна из волн кибератак Shai-Hulud затронула только 180 репозиториев. Сейчас злоумышленники воспользовались скомпрометированными учётными записями разработчиков пакетов. Они публиковали заражённые npm-пакеты, создаваемые якобы официальными авторами.
Как объясняют ИБ-эксперты, после заражения вредоносное ПО сканирует систему на предмет учётных данных и секретов CI/CD, публикуемых в репозиториях пользователя GitHub. Далее заражаются все пакеты npm, к которым есть доступ у жертвы, включая библиотеки Zapier, Ethereum Name Service (ENS), PostHog и Postman. По данным Wiz Threat Research, скорость распространения — 1000 новых репозиториев каждые полчаса.
В новой версии ВПО появились функции запуска через скрипты жизненного цикла установки и новые файлы с полезной нагрузкой. При неудаче с аутентификацией червь уничтожает домашний каталог пользователя, удаляя все файлы, доступные для записи.
Shai-Hulud также устанавливает на заражённой машине self-hosted runner GitHub Actions. В классическом варианте self-hosted runner GitHub Actions — это компьютер или сервер, настраиваемый и используемый пользователем для запуска автоматических задач из GitHub Actions вместо стандартных облачных серверов GitHub. В случае с ВПО self-hosted runner работает как бэкдор и позволяет запускать произвольные команды на системе жертвы через легитимные средства GitHub. Shai-Hulud создаёт репозитории с рандомными именами, где хранит украденные секреты и автоматизирует распространение инфекции. Это даёт злоумышленникам возможности для масштабного контроля и кражи данных в инфраструктуре жертв.
Уязвимые пакеты были найдены в рабочих средах до их удаления из npm, что подтверждает активное использование заражённых версий. GitHub удаляет вредоносные репозитории, но злоумышленники создают новые. По словам экспертов ИБ, большой размер и сложная структура вредоносных файлов сбивают ИИ-инструменты анализа. Эти инструменты не находят явных признаков вредоносного кода и ошибочно классифицируют пакеты как легитимные библиотеки для управления сессиями.
Разработчикам рекомендуется сверять пакеты со списком скомпрометированных и удалять заражённые версии. Также ИБ-спецы советуют отключать сценарии postinstall npm в CI, включать многофакторную аутентификацию и приостанавливать автоматические обновления до подтверждения чистоты среды.
