Масштабна атака стилю черв'яка вразила NPM, піддаючи ризику креденціали гаманець Крипто

Швидко поширювана атака на ланцюг постачання, відома як Shai-Hulud, інфікувала сотні npm-пакетів і викрила чутливі облікові дані розробників, включаючи токени GitHub, ключі хмари та дані криптогаманців. Кампанія розпочалася в середині вересня 2025 року і швидко ескалувала, оскільки черв'як поширюється через акаунти утримувачів і широко використовувані бібліотеки JavaScript.

Як черв'я Шай-Хулуд поширюється

Правоохоронні органи повідомляють, що зловмисники спочатку отримують доступ до акаунту підтримки, часто через фішинг, а потім завантажують модифіковані версії легітимних пакетів. Коли розробник встановлює одну з цих версій, на системах macOS або Linux запускається шкідливий скрипт під назвою bundle.js.

Черв'як сканує машини та CI конвеєри на наявність секретів, використовуючи інструмент з відкритим вихідним кодом TruffleHog. Він шукає такі елементи, як:

• Токени особистого доступу GitHub
• npm публікація токенів
• ключі хмар AWS, GCP та Azure
• Ключі гаманця та облікові дані для розробки криптовалют

Якщо буде знайдено дійсні npm токени, він відразу ж оновлює та повторно публікує додаткові пакунки, що належать тому ж утримувачу. Ця поведінка дозволяє шкідливому ПЗ швидко розмножуватися в екосистемі.

Постійність та Витік Даних

Дослідники виявили, що черв'як намагається залишатися активним, створюючи workflows GitHub Actions у репозиторіях жертв. Він також завантажує вкрадені облікові дані та дані приватних репозиторіїв у нові публічні репозиторії GitHub, позначені як Shai-Hulud. Деякі скомпрометовані бібліотеки отримують мільярди щотижневих завантажень, що викликає серйозні занепокоєння щодо масштабу впливу.

Хоча немає підтверджених випадків прямих інфекцій Ethereum Name Service або популярних бібліотек web3, ризик залишається високим. Попередні атаки в npm і PyPI спеціально націлювалися на криптоінструменти, тому розробники, які працюють над акаунтами, смарт-контрактами або web3 додатками, повинні залишатися обережними.

Чому крипто-проекти стикаються з підвищеним ризиком

Розробники часто покладаються на npm пакети в системах CI/CD, контейнерах та продуктивних середовищах. Тому одна скомпрометована залежність може вплинути на цілі блокчейн-процеси. Зловмисники можуть перехоплювати операції з гаманцями, захоплювати фрази відновлення або читати секрети розгортання, пов'язані з управлінням смарт-контрактами.

Що повинні робити розробники зараз

Експерти закликають команди діяти негайно:

• Провести аудит всіх залежностей, використаних до 16 вересня 2025 року
• Закріпити безпечні версії пакунків
• Оберніть кожен обліковий запис розробника, включаючи GitHub, npm, SSH та токени хмари
• Увімкніть MFA, стійку до фішингу, для всіх акаунтів

Інцидент Шай-Хулуд підкреслює істотні зміни в безпеці з відкритим вихідним кодом. Автономні черв'яки для постачання більше не є теоретичними. Екосистема тепер потребує більш суворих перевірок залежностей, кращих інструментів та більш жорстких дозволів для підтримувачів.