Массированная атака в стиле червя поразила NPM, ставя под угрозу учетные данные Крипто Кошелька

Быстро распространяющаяся атака на цепочку поставок, известная как Shai-Hulud, заразила сотни пакетов npm и раскрыла чувствительные учетные данные разработчиков, включая токены GitHub, ключи облака и данные криптокошельков. Кампания началась в середине сентября 2025 года и быстро нарастила силу, поскольку червь перемещается по учетным записям поддерживающих и широко используемым библиотекам JavaScript.

Как червь Шай-Хулуд распространяется

Службы безопасности сообщают, что злоумышленники сначала компрометируют счет мейнтейнера, часто через фишинг, а затем загружают измененные версии легитимных пакетов. Как только разработчик устанавливает одну из этих версий, запускается вредоносный скрипт под названием bundle.js на системах macOS или Linux.

Червь сканирует машины и CI пайплайны на наличие секретов, используя инструмент с открытым исходным кодом TruffleHog. Он ищет такие элементы, как:

• Токены личного доступа GitHub
• npm публиковать токены
• ключи облаков AWS, GCP и Azure
• Ключи кошелька и учетные данные для разработки криптовалют

Если он находит действительные токены npm, он немедленно обновляет и повторно публикует дополнительные пакеты, принадлежащие тому же держателю. Это поведение позволяет вредоносному ПО быстро размножаться в экосистеме.

Устойчивость и Экспозиция Данных

Исследователи обнаружили, что червь пытается оставаться активным, создавая рабочие процессы GitHub Actions в репозиториях жертв. Он также загружает украденные учетные данные и данные частных репозиториев в новые публичные репозитории GitHub, обозначенные как Shai-Hulud. Некоторые скомпрометированные библиотеки получают миллиарды загрузок в неделю, что вызывает серьезные опасения по поводу масштаба воздействия.

Хотя нет подтвержденных случаев прямых инфекций Ethereum Name Service или популярных библиотек web3, риск остается высоким. Предыдущие атаки в npm и PyPI специально нацеливались на криптоинструменты, поэтому разработчики, работающие над кошельками, смарт-контрактами или приложениями web3, должны оставаться осторожными.

Почему криптовалютные проекты сталкиваются с повышенным риском

Разработчики часто полагаются на пакеты npm в системах CI/CD, контейнерах и производственных средах. Поэтому одна скомпрометированная зависимость может повлиять на целые блокчейн-процессы. Злоумышленники могут перехватывать операции с кошельками, захватывать сид-фразы или читать секреты развертывания, связанные с управлением смарт-контрактами.

Что разработчики должны делать сейчас

Эксперты призывают команды действовать незамедлительно:

• Аудит всех зависимостей, используемых до 16 сентября 2025 года
• Защитить безопасные версии пакетов
• Периодически обновляйте все учетные данные разработчика, включая GitHub, npm, SSH и токены облака
• Включить MFA, устойчевую к фишингу, для всех счетов

Инцидент с Шай-Хулуд подчеркивает серьезное изменение в безопасности открытого исходного кода. Автономные черви цепочки поставок больше не являются теорией. Экосистема теперь требует более строгих проверок зависимостей, лучших инструментов и более строгих разрешений для поддерживающих.