Shai-Hulud 2.0: масштабна supply chain-атака, що скомпрометувала екосистему npm

Scroll down
  • Головна
  • Новини
  • Shai-Hulud 2.0: масштабна supply chain-атака, що скомпрометувала екосистему npm

Одна з наймасштабніших supply chain-атак за останні роки — Shai-Hulud 2.0 — вразила екосистему npm та показала критичну вразливість у системах керування залежностями. За три дні зловмисники скомпрометували понад 621 npm-пакет, які разом генерують понад 132 мільйони завантажень на місяць. Інфекція поширилася у 25 000+ GitHub-репозиторіїв, зокрема серед компаній на кшталт Zapier, ENS Domains, PostHog та Postman.

Атака була побудована як самовідтворюваний черв’як, що рухався через ланцюги залежностей. Шкідливий код приховувався у preinstall-скриптах і запускався до будь-яких перевірок. Замість Node.js використовувався рантайм Bun, що ускладнювало детектування через традиційні засоби сканування.

Головною ціллю були секрети розробників: AWS, GCP, Azure credentials, GitHub-токени, після чого заражені машини автоматично додавались як GitHub runners для подальшого поширення атаки. Це фактично створило самопідтримуваний контур зараження в CI/CD-процесах, що становить значно більшу небезпеку, ніж окремі шкідливі пакети.

Що потрібно зробити командам негайно:
• провести аудит залежностей у репозиторіях та перевірити package-lock;
• очистити npm cache на усіх робочих станціях;
• виконати повну ротацію секретів у хмарах та CI/CD;
• перевірити GitHub runners та видалити неавторизовані екземпляри;
• увімкнути контроль виконання preinstall-скриптів та обмежити запуск недовірених залежностей.

Інцидент Shai-Hulud 2.0 показав: більшість компаній недооцінюють ризики, що виникають не у власному коді, а в екосистемах, залежних від тисяч сторонніх компонентів. Supply chain — це зараз головний вектор атак, і його захист потребує не разових перевірок, а системного підходу.

Фахівці SHERIFF Кібербезпека підкреслюють, що атаки такого рівня — не поодинокі інциденти, а наслідок радикально зміненої моделі загроз. Бізнесу необхідно впроваджувати багаторівневий моніторинг, Zero Trust для CI/CD та регулярні перевірки залежностей, оскільки саме вони є найбільш уражуваною частиною сучасної інфраструктури.

Джерела: Check Point Research, Unit42 Palo Alto Networks, GitLab Security.

Зміст:

Автор статті:

Тетяна Круць

Поширюй добро:

Читайте також:

Новини

Перші результати КІБЕРАКАДЕМІЇ SHERIFF: хто і як формує кіберрезерв України

Перший етап навчання у КІБЕРАКАДЕМІЇ SHERIFF показав: кібербезпека може стати реальним шляхом реінтеграції для ветеранів, незалежно від фізичних обмежень і бойового досвіду.

Детальніше »
13 Січня, 2026 Коментарів немає
Статті

«Безкоштовний» Windows як точка входу: кейс SHERIFF CYBERSECURITY про масову компрометацію мережі

Команда SHERIFF CYBERSECURITY розслідувала інцидент у великій виробничій компанії з сотнями співробітників і критичними контрактами. Первинний сигнал надійшов від системи кібермоніторингу: нетиповий

Детальніше »
12 Січня, 2026 Коментарів немає

Готові підсилити кіберзахист вашої організації?

Наші фахівці допоможуть оцінити ризики, знайти слабкі місця і побудувати безпеку, яка працює, а не існує на папері.

Професійна охорона, відеоспостереження та безпека 24/7

0 800 309 114

відділ продажу (безкоштовно)

Головний офіс ХОП "Шериф"

Київ, вул. Сосницька 1/44
Офіс: 9:00 – 18:00
Технічна служба: Цілодобово

Copyright: © 2007-2025 ХОП “Шериф” – Всі права захищені

Get a Quote

Looking for the best rates on your car loan? Outgrid has you covered! Our seamless quote process makes it easier than ever to secure the financing you need for your dream car.

  • Hassle-free application process
  • Competitive interest rates
  • Flexible repayment options
  • Personalized assistance from expert team
Log In
👋

Привіт!

Дякуємо за інтерес до матеріалів від SHERIFF Cybersecurity. У цьому безкоштовному чек-листі ви знайдете практичні точки контролю, які допоможуть зрозуміти, наскільки захищені ваші криптоактиви.