- Kamfen na "Shai-Hulud" mai yada kai ya lalata aƙalla fakitin npm 187 kuma har yanzu ana kan bincike.
- Maharan sun ci zarafin amintattun asusun wallafe-wallafe, sun yi allurar daurin kaya na bundle.js, kuma sun yi amfani da TruffleHog don girbi asirin.
- Rubutun bayan shigar da mugunta da aka yi niyya CI/CD don fitar da sauye-sauyen yanayi, amintattun girgije, da alamu.
- ReversingLabs yana danganta fashewa zuwa mummunan sakin ingantaccen rxnt-a ranar 14 ga Satumba, 2025; npm da dillalai suna tsabtace fakitin da ba su da kyau.
A cikin ingantaccen bincike na haɗarin buɗe tushen, babban sikelin ataque a la cadena de suministro de npm mai suna "Shai-Hulud" yana girgiza yanayin yanayin JavaScript, tare da ɗaruruwan fakitin da aka haɗa da tsabtace aiki da ke kan hanya. Masu bincike sun ce aikin ya haɗu da daidaita asusun ajiyar kuɗi, bugawa ta atomatik, da kuma satar sirri ta hanyoyin da ba a saba gani ba.
Binciken farko yana nuni ga maharan suna cin zarafin amintattun asusun wallafe-wallafe don tura sabbin abubuwan da suka kama tarko, yayin da aiki da kai cikin sauri ya yaɗa qeta saki zuwa shahararrun ayyuka. Saboda ana sake amfani da fakitin npm sosai, tasirin da ake yi ta hanyar bishiyar dogaro ya shafi ƙungiyoyin da suka dogara da bututun CI/CD.
Yadda aka ga yakin neman zabe
Masu binciken tsaro sun fara lura da ayyukan da ake tuhuma da ke da alaƙa da ayyukan da ke yin nuni da fakitin da suka danganci CrowdStrike, wanda ya haifar da faɗaɗa yin rajistar don abubuwan da ba su dace ba abubuwan da ba a ba da izini ba daga asusu masu kama da halal. Maƙasudai da dama sun zama ruwan dare gama gari a cikin mahallin kasuwanci, suna ƙara fashewar radius.
Developer Daniel Pereira ya yi gargadin a bainar jama'a game da wani babban hari na samar da kayayyaki bayan fafutukar isa ga tashoshi na tsaro masu zaman kansu, yana mai kira ga masu haɓakawa da su guji sakin kwanan nan. @ctrl/tinycolor, kunshin tare da miliyoyin abubuwan zazzagewa na mako-mako. Fadakarwarsa ta ba da damar gudanar da bincike ta hanyar ƙungiyoyin tsaro da yawa.
Abin da malware ke ƙoƙarin sata
Da zarar an shigar, gurbatattun fakiti na iya aiwatar da rubutun da aka ƙera don fitar da sauye-sauyen yanayi, alamu, da sauran abubuwan sirri. Wannan yana sanya sabar ginawa da wuraren aikin haɓakawa cikin haɗari idan an ja nau'ikan ɓarna yayin shigarwa ko CI yana gudana.
Ta hanyar nufin tsarin CI/CD musamman, masu aiki sun nemi kama kayan tantancewa kamar Maɓallan mai ba da girgije, alamun shiga masu zaman kansu, da takaddun shaidar sabis. Tare da waɗanda suke a hannu, abokan gaba na iya motsawa ta gefe, sake shigar da cibiyoyin sadarwa, da yuwuwar lalata bututun ko aikace-aikace masu mahimmanci.
Yadda tsutsa ke yadawa tsakanin fakiti
Bincike ya nuna yakin ya hada da bangaren yada kai wanda ya zazzage kowane kunshin mallakin mai kula da shi, ya canza shi. fakamari.json, allura a bugu.js kaya, sake tattarawa, kuma sake buga shi-aiki sarrafa sarrafa abubuwan sakewa na gaba.
Har ila yau malware ɗin ya ci zarafin halal ɗin kayan aikin binciken sirri TruffleHog don farautar fallasa takaddun shaida, da fayilolin sanyi da aka ambata mai suna shai-hulud.yaml- nod ga tsutsotsin dune wanda ya ƙarfafa aikin moniker. Wannan haɗin sake amfani da aiki da kai ya taimaka barazanar ta yi sauri.
Iyaka da fakitin da abin ya shafa ya zuwa yanzu
Masu bincike daga Socket da Aikido sun gano aƙalla Fakitin npm 187 sun daidaita har zuwa yau, tare da alkaluman da ake sa ran za su tashi yayin da ake ci gaba da sake dubawa. Domin ko da gurbataccen dogaro guda ɗaya na iya rikiɗewa a cikin ayyuka da yawa, ingantaccen bayyanar zai iya zama babba.
Daga cikin wadanda abin ya shafa akwai fakitin da ke da alaƙa da CrowdStrike-kamar taron jama'a-sdk, taron jama'a-abokin ciniki, da taron jama'a-api-tare da wasu shahararrun kayayyaki. Ƙaddamar da dakunan karatu da aka ambata na kasuwanci yana nuna masu gudanar da aikin sun bi iyakar iya aiki.
Mahimman bayanai game da asali da tsarin lokaci
ReversingLabs ya ba da rahoton cewa mai yiwuwa fashewar ta samo asali ne daga mummunan sakin rxnt-aiki wanda aka buga a Satumba 14, 2025, tare da asusun npm techsupportrxnt an nuna shi azaman sifili mai yuwuwar haƙuri. Yadda aka keta wannan asusu har yanzu ba a san shi ba, tare da hasashe da suka kama daga yaudara zuwa cin zarafi na GitHub Action mai rauni.
Kamfanoni da yawa suna kwatanta Shai-Hulud a matsayin wanda ba a taɓa yin irinsa ba. npm kunshin tsutsa mai-maimaitawa wanda kuma ke satar alamun girgije. Yayin da ake ci gaba da ƙira, bayanin martabar fasaha yana jaddada yadda sarrafa sarrafa mai kai hari zai iya juya manajojin fakiti zuwa tashoshin rarrabawa masu ƙarfi.
Amsar masana'antu da tsaftacewa
Rijistar npm da abokan tsaro sun koma cire fakitin ƙeta, sanar da masu shela, da fitar da jagora don abin dogaro na auditing. An bukaci masu haɓakawa da su bincika makullin fayiloli da tarihin sigar, musamman kusan fitowar tsakiyar Satumba 2025.
CrowdStrike ya ce cikin hanzari ya kawar da fakitin 'yan damfara daga npm na jama'a, yana jujjuya makullin, kuma ya tabbatar da hakan. Falcon firikwensin sa baya amfani da waɗancan samfuran kuma kariyar abokin ciniki ta kasance a wurin. Kamfanin yana haɗin gwiwa tare da npm kuma yana gudanar da cikakken nazari.
Matakai masu dacewa don ƙungiyoyi
Kungiyoyi yakamata su bincika ayyukan nan da nan don sanannun alamomi, suna ba da fifiko jerin abubuwan dogaro, makullai, da CI gina rajistan ayyukan. Juya duk wasu alamun da ke da yuwuwar fallasa, gami da alamun npm, GitHub PATs, da maɓallan girgije.
- Cire ko saka fakitin da abin ya shafa da koma baya zuwa sigar aminci; sake ginawa daga wurare masu tsabta.
- Kunna 2FA na tilas don asusun mai wallafa npm kuma aiwatar da mafi ƙarancin gata a cikin CI/CD.
- Ci gaba da bincika abubuwan dogaro da kayan tarihi don yin tambari; saka idanu don rashin daidaituwar hali bayan shigarwa.
- Saita faɗakarwa don bugu na bazata daga org ɗin ku kuma tabbatar da amincin fakitin kafin gabatarwa.
Don rage fallasa nan gaba, gabatar da cak na atomatik waɗanda ke toshe rubutun da ake tuhuma yayin shigarwa, da tabbatar da sabbin abubuwan dogaro ko sabbin abubuwan dogaro kafin su kai ga samarwa. Yin bita kan samun damar mai kulawa, kariyar repo, da sa hannu kan manufofin na iya ƙara taurare sarkar.
Kamfen din Shai-Hulud ya bayyana yadda cikin sauri dan wasan kwaikwayo zai iya amfani da karfin ikon yin amfani da manyan masu yin rijistar. asusun da aka daidaita, yaduwa kamar tsutsa, da girbi na sirri don haɓaka tasiri; taka-tsantsan, saurin gyarawa, da ƙwaƙƙwaran sarrafawar wallafe-wallafen yanzu sune manyan abubuwan da suka fi dacewa ga ƙungiyoyi a duk faɗin yanayin muhallin.
