The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2

04.12.2025 22:42

Компания Wiz опубликовала результаты анализа следов деятельности червя Shai-Hulud 2, в ходе активности которого в репозитории NPM были опубликованы вредоносные выпуски более 800 пакетов, насчитывающих в сумме более 100 млн загрузок. После установки поражённого пакета, активизировавшийся червь выполняет поиск конфиденциальных данных, публикует новые вредоносные релизы (при обнаружении токена подключения к каталогу NPM) и размещает в открытом доступе найденные в системе конфиденциальные данные через создание новых репозиториев в GitHub.

В GitHub выявлено более 30 тысяч репозиториев с сохранёнными червём перехваченными данными. В около 70% из этих репозиториев размещён файл content.json, в 50% - файл truffleSecrets.json, а в 80% - environment.json, содержащие ключи доступа, конфиденциальные данные и переменные окружения, найденные на системе разработчика, установившего вредоносный пакет с червём. Также в данных репозиториях выявлено около 400 файлов actionsSecrets.json с ключами, найденными в окружениях для выполнения GitHub Actions.

В файлах contents.json присутствовало более 500 уникальных учётных данных и токенов для подключения к GitHub. В файлах truffleSecrets.json содержались конфиденциальные данные, найденные в результате выполнения на поражённой системе утилиты TruffleHog, собирающей более 800 типов данных, среди которых ключи доступа, ключи шифрования, пароли и токены, используемые в различных сервисах, облачных окружениях, продуктах и СУБД. Всего в truffleSecrets.json выявлено более 400 тысяч уникальных записей из которых около 2.5% (~10000) было верифицировано.

Предполагается, что попавшая в открытый доступ конфиденциальная информация может стать отправной точкой для новой волны атак, так как многие данные остаются актуальны. Например, проверка показала, что 60% токенов доступа к NPM, захваченных с поражённых червём систем, остаются действующими.

В отчёте также приводится общая статистика, полученная на основе анализа переменных окружения с поражённых систем. 23% запусков червя произошли на компьютерах разработчиков, а 77% - в окружениях систем непрерывной интеграции (60% GitHub Actions, 5% - Jenkins, 5% - GitLab CI, 3% - AWS CodeBuild). На 87% систем использовался Linux, 12% - macOS и 1% - Windows. 76% запусков было в контейнерах, 13% - в основных системах.

60% всех инфицированний произошло из-за установки вредоносных релизов пакетов @postman/tunnel-agent-0.6.7 и @asyncapi/specs-6.8.3. В 99% проценте случаев червь был активирован при запуске команды "node setup_bun.js", указанной в package.json в секции preinstall (оставшиеся 1% вероятно приходятся на попытки тестирования).



  1. Главная ссылка к новости (https://www.wiz.io/blog/shai-h...)
  2. OpenNews: При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов
  3. OpenNews: Самораспространяющийся червь поразил 187 пакетов в NPM
  4. OpenNews: Утечка токена для полного доступа к GitHub-репозиториям проекта Python
  5. OpenNews: В 2024 году GitHub выявил 39 млн утечек ключей и паролей в репозиториях
  6. OpenNews: Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64377-worm
Ключевые слова: worm, spy
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:40, 04/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    А можно вкратце, обычному юзеру надо что-то делать?
     
     
  • 2.2, кек (?), 23:42, 04/12/2025 [^] [^^] [^^^] [ответить]  
    		• +14 +/
    не использовать javascript, typescript и все прочие недоделки около них
     
     
  • 3.13, Аноним (13), 07:18, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Я недавно был свидетелем атаки через vim. Причем я так понял, девелоперские машины с помощью дыр в нем, давно уже успешно ломают.
    К моему разочарованию, у vim даже не проводилось какого-либо серьезного аудита безопасности. При этом его обычно запускают в девелоперской системе с полным доступом и контролем кода. Имея возможность через бэкдор запускать вредоносный сценарий, код помимо прочего читает файл known_hosts и пытается соединиться с серверами по SSH, в надежде на отсутствие passphrase. А у большинства разработчиков на деле, редко в дополнение к ключам используется пароль.

    Так что любой рабочий код и даже среда разработки, могут иметь вредоносный код.

     
     
  • 4.15, Жироватт (ok), 08:39, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Ссылку, пж.
    Пока нет ссылки - антикриза от джеэсера-нодовика
     
  • 4.52, Аноним (52), 14:52, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Каким образом? Просто прочитав специально сконструированный .txt? Можно подробностей?
     
     
  • 5.56, Аноним (56), 15:41, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Вероятно, вредоносный плагин. Или средства удаленной разработки. Или средства доставки обновлений, отладочных символов и чего угодно, что может потребоваться обновить плагинам по Сети.
     
     
  • 6.61, Аноним (13), 19:11, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Частично есть такое. У меня бывший коллега как раз сталкивался с такой проблемой, причем она срабатывала при двух условиях: 1) При локали ru_RU 2) В имени пользователя или в hostname были ключевые слова (в том случае название организации вроде бы). Не исключено, что еще были какие-то проверки признаков, а geoip слишком палевно тащить. Такие вещи явно делались из расчета на то девелоперская среда в очевидно будет ограничена в доступах и пр., но вот код дальше куда то пойдет....
    Времена сейчас такие... И очень много работы у нормальных безопасников.
     
  • 6.62, Аноним (13), 19:25, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Кстати, такая гадость по идее может быть не только в самом vim, но и в его зависимостях сидеть. Причем срабатывать только при определенных условиях.
    У многого ПО исходники используемых библиотек годами никто не смотрит.

    Кстати, вспомнил, как встречал какую-то гадость, которая отслеживала нужные ей процессы и изменения файлов через inotify. После изменения файла, при первом доступе к записи, вносила эксплоит. Причем это было давно, но сделано хитро конечно. Рассчет видимо на невнимательность разработчика, а также на то, что нет промежуточного код-ревью и сборка проекта не производится на сторонней системе.

    А уж как подобная гадость может запускаться - это уже дело эксплоитов, для которых современные системы до сих пор поле непаханное.

     
  • 4.54, ЦЦК (?), 15:21, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    >редко в дополнение к ключам используется пароль

    Даже если используется пароль, ключ может быть запомнен в оперативной памяти, и доступ по ssh пойдёт без ввода пароля.

     
     
  • 5.59, Аноним (13), 18:58, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Мне кажется, все-таки из памяти вытащить пароль несколько сложнее, да и палится проактивной защитой. Но при должном старании и умении, впринципе реально.
     
     
  • 6.63, Аноним (63), 20:24, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > из памяти вытащить

    А его не надо тащить, всякие полисикиты сами запомнят.

     
  • 4.55, Аноним (56), 15:38, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну учитывая, что местные безопасТные эксперты борются с sudo/sudoedit (там же найдены (и исправлены) узявимости!!1) и vim от рута запускают, доступ по SSH к их репозиториям - это ещё не самое страшное, что можно получить на их машинах.
     
  • 3.25, MACTEP53 (?), 09:18, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ну по правде говоря все держится на репутации пакета, в go тоже можно подцепить репозиторий для работы с датами, который в назначенное время откроет порт.
     
  • 3.32, Jeck (?), 10:35, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Не использовать linux, очевидно же
     
     
  • 4.37, Аноним (37), 12:13, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А что использовать, Гугло?
     
  • 4.60, нах. (?), 19:05, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    ты не поверишь, но:
    Open PowerShell
    Click the Start Menu, type PowerShell, then open it.

    Copy and paste the code below, then press enter.

    For Windows 8, 10, 11: 📌
    irm https://get.activated.win | iex

    - я конечно скопировал с совсем помойки (просто потому что помню адрес), но увы, подобных рецептов - полный интернет.

     
  • 2.5, th3m3 (ok), 00:20, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Не тянуть в систему всякое УГ на электроне.
     
     
  • 3.43, 21yosenior (?), 12:50, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    > Не тянуть в систему всякое УГ на электроне.

    На русте не тянуть. Как и на любом ином лефтпад-языке.

     
  • 2.9, Аноним (63), 01:59, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > В GitHub выявлено более 30 тысяч репозиториев с сохранёнными червём перехваченными данными

    Обычные люди не используют гитхаб, им делать ничего не надо.

     
     
  • 3.29, нах. (?), 09:39, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    обычные получат этого червя через curl|sudo su - как они привыкли. Делать им, действительно, ничего не надо.
    Да они и не хотят.

    К тому же trufflehog на их системе ничего полезного со своей точки зрения не найдет, заплачет и самоудалится.

     
     
  • 4.34, Аноним (63), 11:40, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > curl|sudo su - как они привыкли

    Этих не жалко, они сами выбрали свой путь. Да пребудет с ними раст.

     

  • 1.6, Аноним (-), 00:53, 05/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +6 +/
    > На 87% систем использовался Linux, 12% - macOS и 1% - Windows.

    Ну вот, а говорили что виндузятники дypаки.
    А оказалось что в дypaках линуксойды.

    > "node setup_bun.js"

    Ага! Вот он и попался!
    Не зря их выкупили, они прям все данные хотят соскрапить.

     
     
  • 2.7, 12yoexpert (ok), 01:13, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    а я говорил, что популяризация линукс - плохая идея
     
     
  • 3.26, Надгробный (?), 09:19, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Федорчук ещё на заре века патетически вопрошал: Нужны ли Линуксу пользователи!?
    Таки я согласен с тем, что не нужны. Ну вас на. И вы это уже пару с плюсом десятилетий успешно доказываете. Я доволен.
     
     
  • 4.31, Ff (?), 10:16, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Что то надо нести ? Горит что есть что взять ? Причины тряски ? Диодное 3D? Physics ?
     
  • 4.64, 12yoexpert (ok), 20:40, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    пользователи-гуманитарии да, не нужны, они понижают iq всего коммьюнити, качество информации в интернете сильно страдает
     
  • 2.8, Аноним (8), 01:24, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Угу.
    Думаю первые звоночки были уже давно, а ситуация с ХЗ библиотекой была уже набатом.
    Просто наивные инфантильные аутисты привыкли верить кому попало.
     
  • 2.17, Жироватт (ok), 08:42, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > 100% опрошенных в интернет опросе пользуются интренетом

    Слишком толсто, попробуй тоньше, что ли?

     
  • 2.27, нах. (?), 09:33, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    не, ну чо ты так... может они не все такие. И большинство запускали этот червяк в wsl.

     
  • 2.35, Аноним (35), 11:58, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > 77% - в окружениях систем непрерывной интеграции (60% GitHub Actions, 5% - Jenkins, 5% - > GitLab CI, 3% - AWS CodeBuild)

    неудивительно что

    > На 87% систем использовался Linux

    далее:

    > 12% - macOS и 1% - Windows.

    Итого в сухом остатке получается что ломанули непропорционально много маководов (чуть больше половины всех взломаных персональных аккаунтов)

     

  • 1.14, Аноним (14), 07:22, 05/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Всё это сулит "блестящее" будущее публичным репо.
     
     
  • 2.18, Жироватт (ok), 08:43, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Скорее не самим публичным репам, а процессу их создания и верификации их содержимого.
     

  • 1.28, нах. (?), 09:34, 05/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    надо срочно внедрить шестифакторную идентификацию! С отпечатками всех пальцев и сдачей анализа мочи!

    (так - точно победим!)

     
     
  • 2.40, Джон Титор (ok), 12:38, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Идея идентификации пользователя с получением адреса устройства не так плоха как кажется
     
     
  • 3.42, 21yosenior (?), 12:45, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > Идея идентификации пользователя с получением адреса устройства не так плоха как кажется

    Плоха. Да и идентификация к этой теме никак не относится.

     
     
  • 4.69, Джон Титор (ok), 02:28, 06/12/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 3.70, Аноним (70), 02:55, 06/12/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 2.46, Аноним (63), 13:06, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Да хоть 100500-факторную. Когда на сервак ставят 9000 ботов (серт, ИИ, бигдата, машынлёрнинг...), они уже без тебя разберутся с твоим (уже нет) кодом.
     
  • 2.47, YetAnotherOnanym (ok), 13:07, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Да просто чипировать всех, и коммиты заверять через чип.
     

  • 1.33, YetAnotherOnanym (ok), 11:39, 05/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Гы... А чего ещё можно было ожидать от технологии, где для "посчитать два плюс два" требуется отдельный пакет из публичной помойки?
     
     
  • 2.41, 21yosenior (?), 12:43, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Это ты про руст? Ожидать особо нечего было, однако большинство ожидало. Рассуждения пост-фактум мало что значат.
     
     
  • 3.44, Аноним (63), 13:03, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    > Это ты про руст?

    И про него тоже. Теперь только так будет.

     
  • 3.66, 12yoexpert (ok), 20:43, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    руст и джава это две стороны одной монеты, один и тот же коекакерский подход, огороженные среды сборки и магазины библиотек. синтаксис, которым невозможно пользоваться, и тормоза
     

  • 1.51, Аноним (51), 14:28, 05/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    TS -обещание вылечить геморрой. JS -сам геморрой. npm -это бесконечная очередь к проктологу.
     
     
  • 2.68, 12yoexpert (ok), 00:33, 06/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    ts это вообще не об этом
     

  • 1.67, анодттт (?), 00:08, 06/12/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру