СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.11.2025
#Dev#ИБ

Shai Hulud: npm-червь компрометировал 492 пакета с 132 млн загрузок

Появилась новая кампания, связанная с червем npm Shai Hulud, которая оказала значительное воздействие на различные громкие проекты, включая Zapier, ENS Domains, AsyncAPI, PostHog и Postman. Обнаруженная 24 ноября 2025 года, эта волна атак привела к троянизации примерно 492 пакетов npm, которые в совокупности получают около 132 миллионов загрузок каждый месяц.

Масштаб и цель кампании

Атака использует уязвимости в экосистеме npm, нацеливаясь на библиотеки и инструменты, являющиеся неотъемлемой частью рабочих процессов разработчиков и автоматизации инфраструктуры. Вариант Shai Hulud разработан как самораспространяющийся червь npm, обладающий скоординированными и стратегическими возможностями для проникновения и компрометации широко распространенных пакетов.

Последствия для безопасности и цепочки поставок

Эта атака не только представляет непосредственный риск из‑за кражи данных, но и позволяет злоумышленникам получить доступ к конфиденциальной информации, включая действительные секреты, которые могут привести к:

  • манипулированию или эксфильтрации закрытого исходного кода;
  • публикации вредоносных пакетов под доверенными учетными записями;
  • потенциальному перемещению внутри компании в рамках операций CI/CD.

Текущая волна совпадает с запланированным npm отзывом «classic tokens», запланированным на 9 декабря 2025 года, что затронет многих сопровождающих, которые еще не перешли на более безопасные методы публикации.

Почему период перехода опасен

Наличие долгоживущих токенов, оставшихся незащищенными, увеличивает риск эксплуатации в течение этого переходного периода. Компрометация учетных данных позволяет червю расширять доступ и поддерживать присутствие в экосистеме, что делает быстрые реакции критически важными.

Рекомендации для организаций

Чтобы снизить риски, связанные с червем Shai Hulud, организациям рекомендуется предпринять следующие шаги:

  • выявить и пометить версии пакетов npm, которые скомпрометированы;
  • понизить версии или временно удалить скомпрометированные пакеты из своих систем;
  • активно искать и реагировать на утечки учетных данных;
  • выявлять уязвимости третьих лиц и мониторить появляющиеся показатели, связанные с подобными кампаниями;
  • ускорить переход от долгоживущих токенов к более безопасным методам публикации в контексте npm (включая подготовку к отзыву «classic tokens»).

Вывод

По мере усиления угроз в цепочке поставок решающее значение приобретает акцент на своевременном реагировании и повышении осведомленности об экосистеме. Службы безопасности должны сосредоточиться на раннем обнаружении и оперативном устранении инцидентов, чтобы эффективно усилить свою защиту против кампаний наподобие Shai Hulud.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: