Η CISA εξέδωσε επείγουσα ειδοποίηση ασφαλείας ως απάντηση σε μια μεγάλης κλίμακας επίθεση στην αλυσίδα εφοδιασμού λογισμικού στο npmjs.com, το μεγαλύτερο μητρώο πακέτων JavaScript στον κόσμο.
Ένα αυτοαναπαραγόμενο σκουλήκι, με την ονομασία Shai-Hulud, έχει διεισδύσει σε περισσότερα από 500 πακέτα npm και έχει εισάγει κακόβουλο κώδικα που εξαπλώνεται επιθετικά, κάνοντας κατάχρηση των διαπιστευτηρίων developer και των ροών εργασίας δημοσίευσης npm.
Αυτοαναπαραγόμενη απειλή στην αλυσίδα εφοδιασμού npm. Αφού εξασφάλισε αρχική πρόσβαση, πιθανώς μέσω ενός παραβιασμένου λογαριασμού συντηρητή, το Shai-Hulud αναπτύσσει ένα εξελιγμένο ωφέλιμο φορτίο που σαρώνει για ευαίσθητα διαπιστευτήρια αποθηκευμένα σε μεταβλητές περιβάλλοντος και τοπικά αρχεία διαμόρφωσης.
Το κακόβουλο λογισμικό στοχεύει GitHub Personal Access Tokens (PATs) και κλειδιά API για AWS, GCP και Azure, εκμεταλλευόμενο κοινές πρακτικές CI/CD όπου τα tokens διατηρούνται ακούσια.
Μόλις συλλεχθούν, τα διαπιστευτήρια εξάγονται σε ένα τελικό σημείο που ελέγχεται από τον δράστη και ταυτόχρονα ανεβαίνουν σε ένα δημόσιο αποθετήριο GitHub με την ονομασία Shai-Hulud μέσω του API GitHub/user/repos.
Το Shai-Hulud χρησιμοποιεί στη συνέχεια έναν αυτοματοποιημένο βρόχο για να πιστοποιηθεί στο μητρώο npm με κλεμμένα tokens. Αξιοποιώντας το npm CLI, εισάγει κακόβουλο JavaScript στο αρχείο σημείου εισόδου, συχνά index.js, άλλων πακέτων στο δέντρο εξαρτήσεων του παραβιασμένου developer.
Μετά την εισαγωγή, το σκουλήκι εκτελεί 'npm version patch && npm publish –access public' για να δημοσιεύσει μια trojanized έκδοση, διαιωνίζοντας έτσι την εξάπλωσή του.
Ο μηχανισμός αυτοαναπαραγωγής του σκουληκιού εκμεταλλεύεται τις μεταβατικές εξαρτήσεις: οποιοδήποτε έργο εξαρτάται από ένα από τα παραβιασμένα πακέτα μπορεί ακούσια να γίνει νέος οικοδεσπότης.
Μέτρα Αντιμετώπισης: Η CISA συνιστά άμεση δράση για τον εντοπισμό και την αποκατάσταση αυτής της παραβίασης:
Εξετάστε όλα τα αρχεία package-lock.json και yarn.lock για να εντοπίσετε πακέτα που κυκλοφόρησαν μετά τις 16 Σεπτεμβρίου 2025. Χρησιμοποιήστε npm audit και εργαλεία στατικής ανάλυσης για να επισημάνετε απροσδόκητες αλλαγές κώδικα ή πρόσθετα postinstall scripts.
Περιστρέψτε όλα τα διαπιστευτήρια developer και ανακαλέστε τα εκτεθειμένα GitHub PATs. Επιβάλετε ανθεκτική σε phishing πολυπαραγοντική πιστοποίηση (MFA) σε κάθε λογαριασμό developer, ιδιαίτερα για τις συνδέσεις GitHub και μητρώου npm.
Εφαρμόστε κανόνες IDS/IPS για την παρακολούθηση ανώμαλων συνδέσεων SSH και HTTPS. Αποκλείστε την εξερχόμενη κίνηση σε γνωστά ύποπτα τελικά σημεία, συμπεριλαμβανομένων των τομέων webhook.site, και ελέγξτε τα αρχεία καταγραφής του τείχους προστασίας για απροσδόκητα ερωτήματα DNS και εξερχόμενη κίνηση σε άγνωστα εύρη IP.
Καταργήστε περιττές εφαρμογές GitHub και δικαιώματα OAuth. Ενεργοποιήστε κανόνες προστασίας κλάδων, σάρωση μυστικών και ενημερώσεις ασφαλείας Dependabot. Ελέγξτε τα webhooks και τα μυστικά σε επίπεδο αποθετηρίου για μη εξουσιοδοτημένες αλλαγές.
Καρφιτσώστε τις εξαρτήσεις σε γνωστές ασφαλείς εκδόσεις που δημοσιεύτηκαν πριν από τις 16 Σεπτεμβρίου 2025. Ορίστε αυστηρά εύρη semver (π.χ., “lodash”: “4.17.21”) στο package.json για να αποτρέψετε ακούσιες ενημερώσεις σε παραβιασμένες εκδόσεις.
Η αυξημένη επαγρύπνηση σε όλη την αλυσίδα ανάπτυξης είναι ζωτικής σημασίας για να αναχαιτιστεί η εξάπλωση του σκουληκιού και να διαφυλαχθεί η ακεραιότητα του οικοσυστήματος npm.