- NPM रजिस्ट्री में 1,000 से अधिक कंपोनेंट्स कुछ ही घंटों में एक ही तरीके से संक्रमित हुए और malicious code वाले नए versions वितरित किए गए
- malicious packages ने Bun runtime install script का रूप धारण करके
setup_bun.js और obfuscated bun_environment.js जोड़ा, और execution के समय TruffleHog का उपयोग कर local credentials चुरा लिए
- एकत्र की गई AWS/GCP/Azure·GitHub·NPM tokens जैसी sensitive information को
SHA1HULUD नाम के GitHub Action runner के जरिए बाहर भेजा गया
- malicious script ने
npm publish अपने आप चलाकर worm-शैली self-replication किया, जिसके परिणामस्वरूप 27,000 से अधिक GitHub repositories संक्रमित हो गईं
- इसे open source ecosystem में फैले supply chain security threat को फिर से उजागर करने वाली घटना के रूप में देखा जा रहा है
हमले का अवलोकन
- 24 नवंबर 2025 को HelixGuard ने NPM रजिस्ट्री में 1,000 से अधिक पैकेजों को कुछ घंटों के भीतर एक ही तरीके से संक्रमित पाया
- नए versions ऐसे छिपाए गए थे मानो वे Bun runtime जोड़ रहे हों, और उनमें
preinstall: node setup_bun.js script शामिल थी
- साथ में वितरित
bun_environment.js फ़ाइल obfuscated malicious code थी, जो चलने पर TruffleHog को डाउनलोड करके execute करती थी
- TruffleHog local environment में NPM tokens, AWS/GCP/Azure credentials, environment variables आदि को scan करके चुरा लेता था
- चुराई गई जानकारी को GitHub Action runner
SHA1HULUD बनाकर, Sha1-Hulud: The Second Coming. विवरण वाले GitHub repository के जरिए बाहर भेजा गया
- HelixGuard ने संकेत दिया कि यह हमला सितंबर 2025 में हुई “Shai-Hulud” घटना के उसी हमलावर द्वारा किया गया हो सकता है
malicious code के व्यवहार का विश्लेषण
- उदाहरण के तौर पर
@asyncapi/specs पैकेज के विश्लेषण में पाया गया कि NPM पर वितरित version संक्रमित था, लेकिन GitHub का मूल repository सुरक्षित था
- हमलावर ने
package.json में बदलाव कर setup_bun.js जोड़ा, और उसे bun_environment.js को call करने के लिए configure किया
bun_environment.js 10MB से अधिक आकार की उच्च स्तर पर obfuscated JavaScript file थी, जिसके मुख्य कार्य इस प्रकार थे
- environment variables से cloud credentials और tokens एकत्र करना
- TruffleHog का उपयोग करके secret key scan करना
- GitHub Actions के जरिए data exfiltration करना
- इसके अलावा
package.json में बदलाव कर infection code डाला गया और npm publish अपने आप चलाकर worm-शैली propagation की गई
GitHub संक्रमण और data exfiltration
- malicious script ने
.github/workflows/formatter_123456789.yml फ़ाइल बनाई और SHA1HULUD runner को register किया
- उस workflow ने repository के secrets को double Base64 encoding के साथ
actionsSecrets.json फ़ाइल में package किया
- इसके बाद
Sha1-Hulud: The Second Coming. विवरण वाले random नाम के GitHub repositories बनाकर data upload किया गया
- HelixGuard ने पुष्टि की कि 27,000 से अधिक GitHub repositories संक्रमित हुईं
- चुराए गए secret data में
AWS_ACCESS_KEY_ID, SLACK_WEBHOOK_URL, CODECOV_TOKEN, WEBFLOW_TOKEN सहित कई services के credentials शामिल थे
संक्रमित पैकेजों की सूची
- HelixGuard ने बताया कि सैकड़ों NPM पैकेज संक्रमित हुए
- प्रमुख रूप से
@asyncapi, @ensdomains, @posthog, @zapier, @postman, @voiceflow जैसे संगठनों के पैकेज शामिल थे
- प्रत्येक पैकेज के कई versions (जैसे
@asyncapi/specs@6.8.2, @postman/csv-parse@4.0.5) संक्रमित हुए
- अधिकांश संक्रमित पैकेज सामान्य open source projects का रूप धारण किए हुए थे, और automated deployment process में malicious code डाले जाने के रूप में पाए गए
सुरक्षा संबंधी संकेत
- यह हमला supply chain security की कमजोरी का दुरुपयोग कर बड़े पैमाने पर open source ecosystem को संक्रमित करने का मामला है
- इससे NPM·GitHub·cloud credentials सहित पूरे development infrastructure में security management को मजबूत करने की जरूरत सामने आई
- HelixGuard ने संक्रमित पैकेजों की installation तुरंत रोकने और संबंधित tokens व credentials को तुरंत revoke करने की सिफारिश की
अभी कोई टिप्पणी नहीं है.