PostHog表示 , Shai-Hulud 2.0 npm蠕蟲攻擊是該公司\"經歷過的規模最大、影響最嚴重的安全事件\" , 攻擊者在其JavaScript SDK中植入惡意代碼 , 試圖自動竊取開發者憑據 。
在PostHog發布的事后分析報告中 , 作為受Shai-Hulud 2.0影響的多個軟件包維護者之一 , 該公司表示被污染的軟件包包括posthog-node、posthog-js和posthog-react-native等核心SDK , 這些軟件包含有預安裝腳本 , 在軟件安裝時會自動運行 。 該腳本會運行TruffleHog來掃描憑據 , 將發現的任何秘密信息泄露到新的公共GitHub存儲庫 , 然后使用被盜的npm憑據發布更多惡意軟件包 , 使蠕蟲得以傳播 。
根據發現Shai-Hulud活動第二輪攻擊的Wiz安全專家稱 , 在三天內有超過25000名開發者的秘密信息遭到泄露 。 除PostHog外 , 受影響的軟件包還包括Zapier、AsyncAPI、ENS Domains和Postman提供的軟件包 , 其中一些每周下載量達數千次 。
Shai-Hulud 2.0不僅像典型木馬那樣傳播 , 它的行為更像是一個完整的蠕蟲 。 一旦安裝了被感染的軟件包 , 惡意軟件不僅能竊取npm或GitHub令牌 , 還能從開發者機器或構建系統中竊取云憑據(AWS、Azure、GCP)、CI/CD秘密、環境變量和其他敏感數據 。
PostHog表示已撤銷所有被泄露的令牌 , 移除惡意軟件包版本 , 并開始發布\"已知良好\"的版本 。
但事后分析揭示了一個更深層、更結構性的危險:這不是密碼或令牌的意外泄露 , 而是CI/CD工作流配置錯誤 , 允許來自拉取請求的惡意代碼以足夠的權限運行來獲取高價值秘密 。
對PostHog存儲庫的惡意拉取請求觸發了一個自動化腳本 , 該腳本以完整項目權限運行 。 由于工作流盲目執行來自攻擊者分支的代碼 , 入侵者獲得了控制權:他們泄露了機器人的個人訪問令牌 , 該令牌在整個組織中具有寫入權限 , 然后使用該令牌提交新的惡意代碼 。
攻擊者利用這些被盜憑據 , 部署了修改后的檢查工作流來收集所有GitHub秘密 , 包括npm發布令牌 。 然后使用該令牌將木馬化的SDK推送到npm , 完成了這個永生的依賴樹蠕蟲 。
PostHog表示現在正在為npm發布采用\"可信發布者\"模型 , 全面檢查工作流變更審查 , 并在其CI/CD管道中禁用安裝腳本執行等加固措施 。
如果這份事后分析聽起來令人不安地熟悉 , 那是因為確實如此——擁有大權限的機器人、自動駕駛模式下工作的工作流 , 以及像沒讀過文檔的實習生一樣熱情更新的依賴項 。 事實證明 , 這就是蠕蟲真正需要的一切 。
Q&A
Q1:Shai-Hulud 2.0蠕蟲攻擊是如何運作的?
A:Shai-Hulud 2.0通過在npm軟件包中植入預安裝腳本實現攻擊 。 當開發者安裝被感染的軟件包時 , 腳本會自動運行TruffleHog掃描工具來搜索憑據 , 將發現的秘密信息泄露到公共GitHub存儲庫 , 然后使用被盜的npm憑據發布更多惡意軟件包 , 形成蠕蟲式傳播 。
Q2:這次攻擊影響了多少開發者和哪些公司?
A:據Wiz安全專家統計 , 在三天內有超過25000名開發者的秘密信息遭到泄露 。 受影響的公司包括PostHog、Zapier、AsyncAPI、ENS Domains和Postman等 , 這些公司的軟件包中有些每周下載量達數千次 。
Q3:PostHog采取了哪些措施來應對這次安全事件?
A:PostHog撤銷了所有被泄露的令牌 , 移除了惡意軟件包版本 , 并發布了安全版本 。 此外 , 公司還采用了\"可信發布者\"模型進行npm發布 , 全面檢查工作流變更審查 , 并在CI/CD管道中禁用安裝腳本執行等多項加固措施 。
【PostHog承認Shai-Hulud 2.0是其歷史上最嚴重的安全事件】
推薦閱讀
- 外媒無奈承認,美國對華封鎖七八年,全是瞎折騰,中國正強勢崛起
- ASML絕不承認:我沒有替美國,監視中國客戶
- 微軟承認Windows11核心功能存缺陷 問題潛伏四月影響雙版本
- AMD承認英特爾與英偉達合作將對其帶來激烈競爭
- 承認吧:手機越來越無聊了,要允許好玩的怪東西存在
- 微軟承認Windows 11右鍵菜單太混亂!將推重大更新
- 蘋果承認iPhone17系列漏洞致拍照偶現黑色方塊,計劃發布修復程序
- 美芯片解禁內幕曝光,難怪英偉達不承認有后門,搬起石頭砸自己腳
- 奧特曼首曝GPT-6,親口承認GPT-5「搞砸了」,接入大腦讀心,估值或飆破5000億
- 馬斯克的大招來了,智駕智艙全部升級,承認超算芯片走進死胡同