موج دوم حملات Sha1-Hulud بیش از ۲۵ هزار مخزن npm را آلوده کرد

شرکت‌های امنیتی از آلوده شدن بیش از ۲۵ هزار مخزن npm خبر داده‌اند؛ حمله‌ای که با سرعت بالا در حال گسترش است و به توسعه‌دهندگان هشدارهای فوری داده شده است.

به گزارش افتانا، موج دوم حملات موسوم به Sha1-Hulud بیش از ۲۵ هزار مخزن در رجیستری npm را تحت تأثیر قرار داده و باعث هشدار گسترده در میان شرکت‌های امنیت سایبری شده است. این حملات جدید که توسط شرکت‌هایی مانند Aikido، HelixGuard، Koi Security، Socket و Wiz شناسایی شده، شباهت زیادی به حمله شاخص Shai-Hulud دارد که در سپتامبر ۲۰۲۵ خبرساز شده بود.

در این کمپین تازه، مهاجمان نسخه‌ای جدید از بدافزار را منتشر کرده‌اند که در مرحله preinstall اجرا می‌شود و خطر آلوده شدن محیط‌های ساخت و اجرای برنامه را به طرز چشمگیری افزایش می‌دهد. مانند موج قبلی، اسرار سرقت‌شده توسعه‌دهندگان دوباره در GitHub منتشر شده‌اند و این بار، مخزن‌ها با توضیح «Sha1-Hulud: The Second Coming» ثبت شده‌اند.

در موج نخست، بسته‌های معتبر npm دستکاری می‌شدند تا با اجرای کدهای مخرب، ابزار TruffleHog را روی دستگاه توسعه‌دهنده اجرا کرده و مجموعه‌ای از اسرار و توکن‌ها را جمع‌آوری و به سرورهای مهاجمان ارسال کنند. در موج جدید اما، مهاجمان با افزودن اسکریپت setup_bun.js به فایل package.json، تلاش می‌کنند محیط Bun را نصب یا پیدا کرده و سپس اسکریپت مخرب bun_environment.js را اجرا کنند؛ اسکریپتی که مجموعه‌ای از فعالیت‌های پیچیده را با هدف دسترسی به حساب‌ها و مخازن GitHub انجام می‌دهد.

طبق تحقیقات، این بدافزار پس از اجرا، دستگاه آلوده را به عنوان یک self-hosted runner با نام SHA1HULUD در GitHub ثبت می‌کند و یک workflow مخفی در مسیر .github/workflows/discussion.yaml ایجاد می‌کند که حاوی یک آسیب‌پذیری تزریق است. این آسیب‌پذیری به مهاجم اجازه می‌دهد تنها با باز کردن بخش Discussions در مخزن GitHub هدف، فرمان‌های دلخواه خود را روی دستگاه قربانی اجرا کند. همچنین اطلاعات ذخیره‌شده در GitHub Secrets سرقت و به صورت یک artifact آپلود می‌شود و پس از دریافت شدن، workflow به طور کامل حذف می‌شود تا آثار حمله پنهان بماند.

گزارش HelixGuard نشان می‌دهد که بدافزار نسخه جدید TruffleHog را دانلود کرده و برای سرقت توکن‌های NPM، کلیدهای AWS، GCP، Azure و سایر داده‌های حساس استفاده می‌کند. در همین حال، شرکت Wiz اعلام کرده است که بیش از ۲۵ هزار مخزن در دست‌کم ۳۵۰ حساب کاربری آلوده شده‌اند و طی چند ساعت گذشته، هر نیم‌ساعت حدود هزار مخزن تازه به فهرست قربانیان اضافه شده است. به گفته این شرکت، اگرچه نام و روش‌های به‌کاررفته یادآور حمله قبلی Shai-Hulud است، اما ممکن است عاملان آن متفاوت باشند.

شرکت Koi Security، موج دوم را بسیار تهاجمی‌تر توصیف کرده است. بنا به گزارش این شرکت، بدافزار در صورتی که نتواند توکن یا اعتبار لازم را برای سرقت داده‌ها به دست آورد، وارد مرحله تخریب گسترده می‌شود و تمام فایل‌های قابل‌نوشتن کاربر در پوشه خانگی را حذف می‌کند. به گفته پژوهشگران، این رفتار نشان‌دهنده تغییر رویکرد مهاجمان از سرقت داده به خرابکاری تنبیهی است.

کارشناسان امنیت سایبری توصیه می‌کنند سازمان‌ها تمام نقاط پایانی خود را با دقت برای یافتن بسته‌های آلوده بررسی و نسخه‌های مخرب را فوراً حذف کنند. همچنین لازم است تمامی توکن‌ها و اعتبارنامه‌ها به‌سرعت بازنشانی و مخزن‌های GitHub برای شناسایی هرگونه workflow یا شاخه مشکوک بررسی شوند. گفته شده است که فایل‌هایی مانند shai-hulud-workflow.yml یا هر فایل ناشناس در مسیر workflows می‌تواند نشانه حضور مهاجمان باشد.