بازگشت تهاجمی Sha1-Hulud: بیش از ۲۵ هزار مخزن npm هدف حملات مخرب قرار گرفتند

از /

با اعلام شرکت‌های برجسته امنیت سایبری، جامعه جهانی توسعه‌دهندگان در شوک موج دوم حملات سایبری Sha1-Hulud قرار گرفته است. این کمپین تهاجمی، بیش از ۲۵ هزار مخزن npm را آلوده کرده و با سرعتی نگران‌کننده در حال گسترش است، که همین امر هشدارهای فوری را برای توسعه‌دهندگان به دنبال داشته است.

image

هشدار فوری برای جامعه توسعه‌دهندگان: موج دوم حملات Sha1-Hulud شدت گرفت

موج جدید حملات Sha1-Hulud که از سوی شرکت‌هایی چون Aikido، HelixGuard، Koi Security، Socket و Wiz شناسایی شده، شباهت‌های قابل توجهی به حمله گسترده Shai-Hulud در سپتامبر ۲۰۲۵ دارد. این حملات نه تنها از نظر مقیاس گسترده‌ترند، بلکه پیچیدگی‌های فنی بیشتری را نیز به نمایش می‌گذارند. رجیستری npm (Node Package Manager)، به عنوان مخزنی حیاتی برای بسته‌های نرم‌افزاری جاوااسکریپت، هدف اصلی این مهاجمان قرار گرفته و این موضوع، پایداری بسیاری از پروژه‌های نرم‌افزاری را به خطر انداخته است. سرعت آلودگی به حدی است که در ساعات اخیر، هر نیم‌ساعت حدود هزار مخزن تازه به فهرست قربانیان اضافه شده است.

روش‌های نوین حملات Sha1-Hulud: از آلودگی اولیه تا تسلط بر GitHub

بررسی‌های فنی نشان می‌دهد که در موج دوم حملات Sha1-Hulud، مهاجمان از نسخه‌ای پیشرفته‌تر از بدافزار استفاده می‌کنند که در مرحله `preinstall` (یعنی پیش از نصب کامل بسته) بسته‌های npm اجرا می‌شود. این رویکرد، خطر آلودگی محیط‌های توسعه و ساخت برنامه را به شدت افزایش می‌دهد. برخلاف موج نخست که صرفاً کدهای مخرب را برای جمع‌آوری اسرار اجرا می‌کرد، در حمله جدید، مهاجمان با افزودن اسکریپت `setup_bun.js` به فایل `package.json`، سعی در نصب یا شناسایی محیط Bun دارند. پس از آن، اسکریپت مخرب `bun_environment.js` وارد عمل شده و مجموعه‌ای از فعالیت‌های پیچیده را برای دسترسی به حساب‌ها و مخازن GitHub آغاز می‌کند.

نقطه اوج این عملیات، ثبت دستگاه آلوده به عنوان یک self-hosted runner با نام `SHA1HULUD` در GitHub است. این بدافزار سپس یک workflow مخفی در مسیر `.github/workflows/discussion.yaml` ایجاد می‌کند که حاوی یک آسیب‌پذیری تزریق فرمان است. این آسیب‌پذیری به مهاجم اجازه می‌دهد تا تنها با باز کردن بخش Discussions در مخزن GitHub هدف، فرمان‌های دلخواه خود را روی دستگاه قربانی اجرا کند. در نهایت، اطلاعات ذخیره‌شده در GitHub Secrets به سرقت رفته، به صورت یک artifact آپلود شده و سپس workflow مخفی به طور کامل حذف می‌شود تا هیچ ردی از حمله باقی نماند.

تغییر استراتژی مهاجمان: حملات Sha1-Hulud در آستانه تخریب گسترده

نکته نگران‌کننده در این موج جدید حملات Sha1-Hulud، تغییر رویکرد مهاجمان است. بر اساس گزارش HelixGuard، بدافزار نسخه جدید TruffleHog را دانلود کرده و از آن برای سرقت توکن‌های NPM، کلیدهای AWS، GCP، Azure و سایر داده‌های حساس بهره می‌برد. اما شرکت Koi Security هشدار داده است که این موج بسیار تهاجمی‌تر از قبل است؛ در صورتی که بدافزار نتواند توکن یا اعتبارنامه لازم را برای سرقت داده‌ها به دست آورد، وارد مرحله تخریب گسترده می‌شود و تمام فایل‌های قابل‌نوشتن کاربر در پوشه خانگی را حذف می‌کند. این رفتار نشان‌دهنده تغییر استراتژی مهاجمان از صرفاً سرقت اطلاعات به خرابکاری تنبیهی است. شرکت Wiz نیز آمارهای تکان‌دهنده‌ای ارائه کرده است: بیش از ۲۵ هزار مخزن در دست‌کم ۳۵۰ حساب کاربری آلوده شده‌اند.

توصیه‌های امنیتی برای مقابله با حملات Sha1-Hulud و محافظت از مخازن npm

با توجه به شدت و گستردگی حملات Sha1-Hulud، کارشناسان امنیت سایبری اقدامات فوری زیر را برای محافظت از مخازن npm و جلوگیری از آلودگی‌های بیشتر توصیه می‌کنند: اولاً، سازمان‌ها و توسعه‌دهندگان باید تمامی نقاط پایانی خود را با دقت برای یافتن بسته‌های آلوده بررسی و نسخه‌های مخرب را فوراً حذف کنند. ثانیاً، لازم است تمامی توکن‌ها و اعتبارنامه‌ها (credential) به سرعت بازنشانی شوند تا دسترسی‌های غیرمجاز قطع گردد. همچنین، بازرسی دقیق مخازن GitHub برای شناسایی هرگونه workflow یا شاخه مشکوک، از جمله فایل‌هایی مانند `shai-hulud-workflow.yml` یا هر فایل ناشناس در مسیر `.github/workflows`، حیاتی است. افزایش آگاهی امنیتی تیم‌های توسعه، استفاده از احراز هویت چند عاملی (MFA) برای حساب‌های GitHub و npm و پیاده‌سازی سیستم‌های نظارت بر تغییرات غیرمعمول در مخازن، می‌تواند به عنوان لایه‌های دفاعی اضافی عمل کند.

مجله تخصصی هک و امنیت

مطالب مرتبط

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا