Исследователи сообщили о новой волне атак малвари Shai-Hulud на экосистему npm. На этот раз злоумышленники опубликовали более 600 зараженных версий пакетов. Атаки затронули свыше 300 проектов (включая экосистему AntV, популярные React-библиотеки и CI/CD-среды).
Основной удар пришелся по экосистеме @antv — набору библиотек для построения графиков, визуализации графов, flowchart-диаграмм и работы с данными. Также пострадали и популярные сторонние пакеты, включая:
• echarts-for-react;
• @antv/g2;
• @antv/g6;
• @antv/x6;
• @antv/l7;
• @antv/g2plot;
• @antv/graphin;
• timeago.js;
• size-sensor;
• canvas-nest.js.
По данным специалистов компании Socket, атакующие действовали быстро. Все началось с компрометации npm-аккаунта atool, который публикует пакеты AntV. После этого 639 вредоносных релизов появились примерно за час (между 01:56 и 02:56 UTC 19 мая).
Как и в прошлых кампаниях с использованием Shai-Hulud, вредонос внедрялся прямо в легитимные npm-пакеты и охотился за секретами разработчиков и CI/CD-инфраструктуры. Малварь собирала более 20 типов учетных данных: токены GitHub и npm, ключи AWS, Google Cloud и Azure, SSH-ключи, конфигурации Kubernetes, секреты Vault, параметры подключения к базам данных и многое другое.
При этом Shai-Hulud не просто крадет данные, но и пытается распространяться дальше. Если малварь находит действующий npm-токен, она автоматически ищет пакеты владельца, скачивает их, внедряет свой пейлоад, повышает номер версии и публикует зараженный релиз уже от имени жертвы.
Для эксфильтрации данных вредонос использует P2P-мессенджер Session со сквозным шифрованием. В итоге трафик выглядит как обычное соединение Session по TCP/443, и блокировать его на уровне сети практически бесполезно. В качестве запасного канала используется GitHub API: если червю удается украсть GitHub-токен, он автоматически создает репозиторий в аккаунте жертвы и выгружает туда все похищенные данные.
Такие репозитории легко опознать по строке «niaga og ew ereh :duluh-iahs» в README — это перевернутая фраза «Shai-Hulud: Here We Go Again». В настоящее время на GitHub можно найти более 3000 подобных репозиториев.
Как пишут аналитики Endor Labs, новая версия Shai-Hulud может подделывать attestations происхождения через Sigstore. Малварь крадет OIDC-токены из CI/CD-среды и использует их для создания корректно подписанных attestations через Fulcio и Rekor. В результате зараженные npm-пакеты могут успешно проходить стандартную проверку и выглядеть как легитимные релизы.
Кроме того, специалисты Aikido Security обнаружили механизмы закрепления в системе через конфигурации VS Code и Claude Code. Исследователи считают, что теперь атакующие думают не только о первоначальном заражении жертв, но и о «выживании» после очистки системы.
Ситуацию осложняет то, что исходный код Shai-Hulud недавно был опубликован в открытом доступе группировкой TeamPCP. После этого уже появились первые клоны малвари, и атрибуция новых атак стала заметно сложнее.
