Головна Спільнота

Shai-Hulud 2.0: атака, яка оголила ахіллесову п’яту глобального софту

Засновник охоронного холдингу SHERIFF

10 грудня 2025 09:01 3 хвилин читання

Shai-Hulud 2.0: атака, яка оголила ахіллесову п’яту глобального софту зображення 1

Атаки на ланцюги постачання вже давно не екзотика, але інцидент із Shai-Hulud 2.0 показав: інколи достатньо кількох днів, аби зламати довіру, на якій тримається вся екосистема відкритого коду. Наприкінці листопада у реальному часі розгорталося те, що провідні аналітики вже назвали однією з наймасштабніших compromise-кампаній в історії npm.

За три дні — з 21 по 24 листопада — зловмисники скомпрометували 621+ npm-пакетів, що разом генерують 132 млн завантажень щомісяця. До списку постраждалих потрапили сервіси, яким довіряють тисячі компаній: Zapier, ENS Domains, PostHog, Postman.

Це був не черговий випадок «підміни» пакета, а поява самовідтворюваного черв’яка, який поширюється екосистемою залежностей так само природно, як хробаки рухаються ґрунтом: не шукаючи окремих цілей, а поглинаючи все, що трапляється на шляху.

Читайте також: Як захистити фінансові дані компанії: інтерв'ю з експертом з кібербезпеки

Що дозволило атаці стати настільки результативною?

Підписуйтеся на наші соцмережі

Поєднання технічної витонченості і тонкого розуміння поведінки розробників. Шкідливий код ховався у preinstall-скриптах, виконувався до будь-яких перевірок, запускався не в Node.js, а у Bun — минаючи більшість класичних security-сканерів. Далі атакуючі отримували доступ до найціннішого: AWS, GCP, Azure credentials, GitHub-токенів. Інфіковані машини реєструвалися як GitHub runners і продовжували поширювати атаку.

Фактично, це була спроба створити самопідтримуваний контур зараження в CI/CD-процесах, де атака живе довше, ніж життєвий цикл пакета.

І це підводить нас до незручного запитання: чи готовий бізнес працювати у світі, де компрометація одного open-source пакета може миттєво вразити тисячі компаній, навіть тих, у кого з кібербезпекою все добре «всередині»?

Саме тут інцидент торкається ширшої дискусії. Українські експерти, зокрема і фахівці з SHERIFF Кібербезпека, давно говорять про те, що переоцінка довіри до інструментів розробки — одна з головних сліпих зон IT-команд. Інсталювати залежності стало надто легко, а от перевірити — надто складно. І поки ця асиметрія існує, кожен подібний інцидент стане не винятком, а ознакою тенденції.

Що робити зараз?

Перше, ротація всіх ключів і токенів — без дискусій.

Друге, системний перегляд CI/CD: аналіз runners, контроль за тим, що саме запускається до і після білду.

Третє, багатошарова безпека в ланцюгах постачання: не один інструмент, а комбінація перевірок, поведінкового аналізу, моніторингу та Zero Trust.

Цей інцидент стане поворотною точкою не через масштаби — а через прозорість: він вперше так чітко показав, що вразливість — не у коді. Вразливість — у звичках.

Shai-Hulud 2.0 — це попередження. І, можливо, останнє настільки м’яке.

Джерела: Check Point Research, Unit42 Palo Alto Networks, GitLab Security.

Якщо ви хочете поділитися з читачами SPEKA власним досвідом, розповісти свою історію чи опублікувати колонку на важливу для вас тему, долучайтеся. Відтепер ви можете зареєструватися на сайті SPEKA і самостійно опублікувати свій пост.