У період з 21 по 23 листопада спільнота кібербезпеки знову зіткнулася з загрозливою кампанією атак на реєстр пакетів npm, що є ключовим компонентом ланцюга постачання програмного забезпечення для мільйонів розробників. Ця нова хвиля, названа “Sha1-Hulud: Друге Пришестя” (за аналогією з попередньою атакою у вересні), виявилася ще більш масштабною та підступною. Провідні компанії з кібербезпеки, включаючи Aikido, HelixGuard, Koi Security, Socket, Step Security та Wiz, спільно повідомили про компрометацію сотень npm-пакетів. Зловмисники застосовують тактику троянізації, вбудовуючи шкідливий скрипт у файл package.json під виглядом команди preinstall. Основна мета – приховано встановити або виявити середовище виконання Bun runtime та запустити додатковий шкідливий скрипт, відомий як bun_environment.js. Цей скрипт призначений для крадіжки чутливих облікових даних та секретів розробників. Дослідники Wiz виявили, що атака торкнулася понад 25 000 репозиторіїв на GitHub, пов’язаних із приблизно 350 унікальними користувачами, причому нові скомпрометовані репозиторії додавалися з високою інтенсивністю. Зловмисники публікують викрадені секрети на GitHub, використовуючи опис репозиторію: “Sha1-Hulud: The Second Coming”, що служить їхнім своєрідним “підписом”.

Цей інцидент є критичним нагадуванням про вразливість ланцюгів постачання та необхідність термінового аудиту та обертання всіх скомпрометованих облікових даних. Організаціям настійно рекомендується сканувати всі кінцеві точки на наявність постраждалих пакетів, негайно видалити скомпрометовані версії та перевірити репозиторії на наявність механізмів закріплення, особливо у файлах .github/workflows/, які можуть містити підозрілі конфігурації. Ця атака підкреслює зростаючу схильність кіберзлочинців до використання публічних реєстрів пакетів як високоефективного вектора для масованої крадіжки даних.