Атаки на цепочки поставок npm: «chalk» и червь Shai-Hulud

В сентябре 2025 года экосистема разработки столкнулась с двумя крупными инцидентами в цепочке поставок: компрометацией популярных пакетов npm и последующей масштабной операцией по извлечению секретов из репозиториев GitHub. Атаки выявили серьёзные риски для безопасности — от кражи криптовалют до массовой эксфильтрации конфиденциальных данных.

Краткая хронология событий

• 8 сентября 2025 — обнаружена модификация популярных пакетов npm, включая «chalk» и «debug».
• 15–16 сентября 2025 — активность червя Shai-Hulud, направленного на извлечение секретов из GitHub-репозиториев.
• 22 сентября 2025 — GitHub представил стратегию по усилению безопасности в экосистеме npm (детали в резюме не раскрыты).

Компрометация популярных пакетов: замена кошельков

Первый инцидент, зафиксированный 8 сентября, затронул широко используемые пакеты npm, в том числе «chalk» и «debug». Оба пакета имели чрезвычайно высокий уровень распространения — более 250 миллионов загрузок в неделю — что усилило потенциальный ущерб от внедрённого вредоносного кода.

По результатам анализа, модификация включала механизм, позволяющий злоумышленникам заменять легитимные криптовалютные кошельки на кошельки, контролируемые противником. Это привело к несанкционированным транзакциям и фактам кражи средств у пользователей и проектов, использовавших скомпрометированные пакеты.

Червь Shai-Hulud: добыча секретов через GitHub

Более масштабный инцидент был зафиксирован 15 сентября и получил название Shai-Hulud. В отличие от первой кампании, этот червь не фокусировался на функциях, связанных с криптовалютой, а целенаправленно искал и извлекал секреты из репозиториев GitHub.

• Инструмент, использованный атакующими, — TruffleHog, — зарекомендовал себя как эффективный метод поиска учетных данных и чувствительной информации в исходном коде.
• Обнаруженные секреты отфильтровывались с помощью действий GitHub (GitHub Actions) и отправлялись на вредоносный домен, связанный с операцией злоумышленников.
• Временная шкала активности червя: с 15 сентября в 03:46 до 16 сентября в 13:42, что указывает на целенаправленный и относительно сжатый период компрометации.
• Масштаб атаки свидетельствовал о затронутом более широком наборе пакетов npm по сравнению с инцидентом 8 сентября.

Реакция GitHub и дальнейшие шаги

В ответ на серию атак GitHub к 22 сентября 2025 года изложил стратегический план по повышению безопасности в экосистеме npm. В официальном резюме конкретные меры не были подробно описаны, однако подчёркнуто намерение устранить обнаруженные уязвимости и внедрить дополнительные защитные протоколы.

«намерение GitHub устранить уязвимости и внедрить защитные протоколы указывает на срочную необходимость реагирования на растущие угрозы в Цепочке поставок программного обеспечения.»

Последствия и выводы

Серия инцидентов в сентябре 2025 года подчёркивает несколько ключевых проблем:

• Цепочки поставок остаются уязвимы: скомпрометированные пакеты npm могут распространять вредоносный код на огромную аудиторию.
• Комбинация методов — внедрение бэкдоров в пакеты и автоматизированный поиск секретов в репозиториях — увеличивает риски как финансовых потерь, так и утечки конфиденциальной информации.
• Необходима оперативная и скоординированная реакция со стороны платформ (npm, GitHub), разработчиков и поставщиков инструментов безопасности для предотвращения подобных инцидентов в будущем.

Эти события демонстрируют: даже широко используемые и доверенные компоненты экосистемы разработки могут стать вектором серьёзных атак. Уроки сентября 2025 года актуальны для всех участников процесса разработки ПО — от авторов библиотек до DevOps-инженеров и команд безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.