کمیته رکن چهارم– موج دوم حملات زنجیره تأمین با نام Shai-Hulud به مرحلهای تازه رسیده و از مخزن npm به اکوسیستم Maven نیز سرایت کرده است. در این موج، صدها بسته مخرب در مخازن توسعه نرمافزار منتشر شدهاند که اطلاعات حساس کاربران را به خطر انداختهاند.
به گزارش کمیته رکن چهارم، بستهای با نام org.mvnpm:posthog-node:4.18.1 در Maven Central شناسایی شده که شامل دو مؤلفه مخرب مرتبط با Shai-Hulud است. این بسته توسط شرکت PostHog منتشر نشده و از طریق ابزاری به نام mvnpm از نسخه npm به Maven تبدیل شده است. نسخههای آلوده تا تاریخ ۲۵ نوامبر ۲۰۲۵ حذف شدهاند.
عملیات Shai-Hulud با هدف سرقت کلیدهای API، توکنهای GitHub و دادههای ابری طراحی شده و با رفتار کرمگونه، از طریق مخازن توسعهدهندگان گسترش مییابد. مهاجمان پس از تصاحب حسابهای maintainer در npm، نسخههای آلودهای از بستهها را منتشر کردهاند که در صورت نصب، اسکریپت مخرب را اجرا میکنند. این اسکریپت سیستم قربانی را بهعنوان runner در GitHub ثبت و اطلاعات محرمانه را به مخازن تصادفی عمومی ارسال میکند.
در این حمله بیش از ۲۸ هزار مخزن GitHub آلوده شده و بیش از ۱۱ هزار کلید محرمانه منحصربهفرد به بیرون درز کرده است. ۲۲۹۸ کلید همچنان فعال بودهاند. نسخه دوم Shai-Hulud از runtime جاوااسکریپت Bun برای پنهانسازی استفاده کرده و ظرفیت انتشار خود را به ۱۰۰ بسته افزایش داده است.
مهاجمان با سوءاستفاده از پیکربندی اشتباه GitHub Actions موفق به تزریق workflow مخرب از طریق درخواستهای pull شدهاند. پروژههایی مانند PostHog، Postman و AsyncAPI از جمله آسیبدیدگان این حملات هستند.
متخصصان امنیت توصیه میکنند تمامی توکنها و کلیدهای محرمانه پروژهها چرخش یابند، بستههای آلوده حذف و محیطهای توسعه با سیاستهای امنیتی دقیقتری پیکربندی شوند. این حمله نمونهای جدی از شکنندگی زنجیره تأمین نرمافزار است و لزوم بازنگری در روشهای توسعه و توزیع کد را گوشزد میکند.
