Обнаружена новая волна атак на цепочку поставок NPM под названием Sha1-Hulud

Атака начала распространяться 21 ноября 2025 года через скомпрометированные пакеты NPM, включая популярные инструменты разработки Postman, Zapier и AsyncAPI. По данным аналитиков, полностью список затронутых пакетов продолжает уточняться.

Ключевым отличием новой версии стало использование скрипта "preinstall" вместо "postinstall" для запуска вредоносного кода. Этот подход позволяет злоумышленникам выполнять свою полезную нагрузку на более ранней стадии установки пакетов, что значительно повышает скрытность атаки.

Технический анализ показал, что вредоносная программа использует легитимный инструмент Bun для организации атаки. После загрузки выполняется обфусцированный JavaScript-код из файла bun_environment.js, который создает несколько файлов для сбора и эксфильтрации данных, включая cloud.json, contents.json и truffleSecrets.json.

Особую опасность представляет механизм сохранения, реализованный через GitHub Actions. Вредоносная программа регистрирует зараженную машину как самодостаточный раннер с именем "SHA1HULUD", после чего создает workflow-файл discussion.yaml, содержащий уязвимость внедрения кода. Это позволяет злоумышленникам выполнять произвольные команды на зараженных хостах через раздел обсуждений в репозиториях GitHub.

Новая версия демонстрирует расширенные возможности по сравнению с предыдущими атаками. Помимо кражи учетных данных из среды разработки, вредоносная программа теперь целенаправленно собирает секреты облачных провайдеров AWS, Azure и GCP. Это позволяет злоумышленникам перемещаться по облачной инфраструктуре жертв, значительно расширяя потенциальный ущерб.

Эксперты отмечают использование инструмента Trufflehog для поиска и кражи секретов, включая токены GitHub и NPM. Хотя точные мотивы атакующих пока неизвестны, успешное заражение приводит не только к хищению интеллектуальной собственности и приватного кода, но и к компрометации облачных учетных данных.

SentinelOne сообщает о готовности систем защиты к обнаружению новой угрозы. Платформа включает правила детектирования для выявления подозрительной активности на различных этапах атаки, включая выполнение вредоносных NPM-пакетов, несанкционированные модификации workflow-файлов и автоматическую регистрацию GitHub раннеров.

Специалисты рекомендуют организациям немедленно принять защитные меры. В частности, необходимо отозвать и перегенерировать все потенциально скомпрометированные токены NPM, секреты GitHub и облачные учетные данные. Также следует заменить скомпрометированные пакеты и по возможности отключить выполнение postinstall-скриптов в средах непрерывной интеграции.

Дополнительные рекомендации включают принудительное использование аппаратной многофакторной аутентификации для учетных записей разработчиков и CI/CD-систем, а также включение соответствующих правил детектирования в платформе SentinelOne. Эксперты подчеркивают важность мониторинга подозрительной активности в средах разработки и облачной инфраструктуре.

Угроза Sha1-Hulud демонстрирует продолжающуюся эволюцию атак на цепочки поставок программного обеспечения. Организациям необходимо усилить меры безопасности вокруг процессов разработки и зависимостей третьих сторон, чтобы предотвратить потенциально катастрофические последствия подобных инцидентов.

SHA1

• 3d7570d14d34b0ba137d502f042b27b0f37a59fa
• 8de87cf4fbdd1b490991a1ceb9c1198013d268c2
• 91429fbfef99fa52b6386d666e859707a07844b2
• ba08d2fcc6cd1c16e4022c5b7af092a4034ceedc
• d60ec97eea19fffb4809bc35b91033b52490ca11
• f37c6179739cf47e60280dd78cb1a86fd86a2dcf