Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Shai-Hulud 2.0 атакует NPM-поставки и ворует ключи

3 мин
Новая, значительно усовершенствованная версия вредоносного ПО под названием Shai-Hulud 2.0 представляет собой эскалацию атак на цепочку поставок NPM. По информации исследователей, кампания стартовала примерно 21 ноября 2025 года и отличается от предыдущих версий принципиально иным методом выполнения полезной нагрузки — через сценарии предварительной установки (preinstall), а не через привычную фазу postinstall. Ключевые особенности этой версии выглядят следующим образом: «Отфильтрованные данные стратегически сохраняются в файле «cloud.json», что делает возможным перемещение внутри компании в облачных средах для злоумышленника.» Вместо поздней активации (postinstall) злоумышленники внедряют вредоносную логику в шаги предварительной установки пакета. Это позволяет: Учитывая специфику атаки, последствия могут быть серьёзными: от компрометации отдельных аккаунтов до горизонтального перемещения и захвата ресурсов в облаках. Эксперты рекомендуют предпринять немедленные корректирующие действи
Оглавление

Новая, значительно усовершенствованная версия вредоносного ПО под названием Shai-Hulud 2.0 представляет собой эскалацию атак на цепочку поставок NPM. По информации исследователей, кампания стартовала примерно 21 ноября 2025 года и отличается от предыдущих версий принципиально иным методом выполнения полезной нагрузки — через сценарии предварительной установки (preinstall), а не через привычную фазу postinstall.

В чём отличия Shai-Hulud 2.0

Ключевые особенности этой версии выглядят следующим образом:

  • Атака идет через preinstall-скрипты NPM-пакетов, что позволяет запускать вредоносный код ещё до завершения обычной установки и до активации сред разработки.
  • Цель атаки расширена: помимо воздействия на dev-среды, злоумышленники стремятся к сбору конфиденциальных учётных данных, связанных с облачными провайдерами — AWS, Azure и GCP.
  • Отфильтрованные и собранные данные систематически сохраняются в файле cloud.json, что обеспечивает злоумышленнику возможность дальнейшего перемещения внутри облачных сред и закрепления доступа.
«Отфильтрованные данные стратегически сохраняются в файле «cloud.json», что делает возможным перемещение внутри компании в облачных средах для злоумышленника.»

Как это работает (кратко)

Вместо поздней активации (postinstall) злоумышленники внедряют вредоносную логику в шаги предварительной установки пакета. Это позволяет:

  • запускать код на машинах разработчиков и сборочных серверах раньше, чем обнаружат традиционные сигнатуры;
  • собирать токены, ключи и другие секреты, которые часто находятся в окружении сред разработки или CI/CD;
  • сохранять отфильтрованные секреты в индексируемом файле (cloud.json) для последующего использования против облачных инфраструктур.

Риски и рекомендации для пострадавших

Учитывая специфику атаки, последствия могут быть серьёзными: от компрометации отдельных аккаунтов до горизонтального перемещения и захвата ресурсов в облаках. Эксперты рекомендуют предпринять немедленные корректирующие действия при малейших признаках компрометации.

Немедленные шаги для защиты:

  • Срочно поменять все токены, ключи и секреты, которые могли быть связаны с скомпрометированными NPM-пакетами или инфраструктурой.
  • Проверить наличие и содержимое файлов с именем cloud.json в репозиториях, рабочих станциях разработчиков и сборочных окружениях.
  • Провести ревизию preinstall/postinstall-скриптов в используемых NPM-пакетах, особенно в тех, которые недавно обновлялись.
  • Изолировать подозрительные машины и сборочные агенты до завершения расследования.

Обнаружение и меры защиты

Для борьбы с Shai-Hulud 2.0 уже разработаны и внедряются специфические методы обнаружения:

  • Платформа защиты конечных точек SentinelOne использует поведенческие механизмы AI, которые отслеживают аномальные последовательности действий, характерные для атак на цепочки поставок и червевидного распространения.
  • Создана специальная библиотека обнаружения в SentinelOne с набором правил, нацеленным на выявление активности Shai-Hulud на разных стадиях — это улучшает скорость и точность реагирования.
  • Команда threat hunting Wayfinder ведёт активный мониторинг и поиск признаков подозрительной активности, связанной с этой угрозой.

Рекомендации для организаций

Организациям рекомендуется сохранять повышенную бдительность и наладить обмен информацией об инцидентах: совместный обмен Indicators of Compromise и наблюдениями по поведению атак ускорит выявление и нейтрализацию угрозы.

Краткий чек-лист действий:

  • обновить и поворотить креденшелы облачных аккаунтов при малейшем подозрении;
  • проверить и ограничить доступы для CI/CD-пайплайнов и агентских учетных записей;
  • внедрить мониторинг целевых облачных API и аномалий использования токенов;
  • подключиться к сообществам обмена threat intelligence и обмениваться находками по Shai-Hulud 2.0.

Вывод

Shai-Hulud 2.0 — это качественный скачок в развитии атак на цепочку поставок NPM: переход к preinstall-исполнению и фокус на облачные учётные данные делают угрозу особенно опасной. Быстрая смена секретов, усиленный мониторинг и использование поведенческих механизмов обнаружения — ключевые элементы ответа на кампанию. Организации, которые своевременно отреагируют и установят обмен информацией об инцидентах, существенно снизят риски дальнейшей компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Shai-Hulud 2.0: NPM-червь крадёт облачные учётные данные".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.