Masovna kompromitacija open-source paketa kroz napad na lanac napajanja - operacija Mini Shai-Hulud
Kampanja Mini Shai-Hulud kompromitovala je stotine open-source paketa sa milionima preuzimanja kroz napad na lanac napajanja softvera.
Šta se desilo?
Brzo rastući maliciozni napadi su kompromitovali stotine softverskih paketa na poznatim open-source registrama, ubacivanjem koda za krađenje akredencijala u alatke koje preuzimaju milioni korisnika nedeljno. Kampanja pod nazivom "Mini Shai-Hulud" je pogodila važne biblioteke kao što su TanStack, UiPath i MistralAI, pri čemu je TanStack React Router samostalno preuziman više od 12 miliona puta nedeljno.
Koga pogađa?
Riziku su izloženi razvijači softvera, IT timovi preduzeća, kao i sve organizacije koje koriste pogođene open-source pakete. Napad posebno ugrožava enterpajz-aplikacije koje se oslanjaju na kompromitovane biblioteke. Ciljna grupa je fokusirana na oblačnu infrastrukturu i sisteme sa visokim nivoom bezbednosti, uključujući AWS, Google Cloud, Kubernetes i druge cloud platforme.
Kako se zaštititi?
- Odmah promenite sve akredencijale povezane sa cloud uslugama (AWS, Google Cloud, GitHub) ako ste preuzeli pogođene pakete ponedeljka
- Proverite sve verzije korišćenih open-source biblioteka i uklonite kompromitovane verzije
- Tražite znakove suspektne aktivnosti u CI/CD okruženju i developer环境ima
- Pregledajte konfiguracionih fajlove editor-a poput VS Code-a (.vscode/) i Claude Code-a (.claude/) na znakove malicioznog koda
- Primenite strogu analizu sigurnosti na direktorijume razvojnih alata, ne samo na production kod
- Pratite neočekivane povezanosti ka spoljnim serverima iz CI/CD okruženja
- Proverite lock fajlove paketa za neobične izmene
Tehnički detalji
Napad je izvršen kroz "orphaned commit" - kod empušovan u fork repozitorijuma bez odgovarajuće grane, što je omogućilo eksploataciju previše dozvola u GitHub Actions workflow-ima. Malver od 2,3 megabajta je dostavljen kroz skrivenu zavisnost i koristi Bun engine za brzo izvršavanje JavaScript-a. Pri izvršavanju, kod aktivno prikuplja SSH ključeve, tajne fajlove i cloud kredencijale sa lokalnog računara razvojnog inženjera. Malver radi kao samošireći червь i automatski se publikuje u druge projekte, prikazujući aktivnost kao automatske commit-e od bota. Za izlazak krađenog podatka koristi aplikaciju Session koja šalje podatke kroz decentralizovanu mrežu, čime se komunikacija maskira kao obična enkriptovana diskusija i izbegavaju tradicionalni command serveri.
Preporuka Sajber Radara
Ovaj napad pokazuje kritičan problem u savremenoj softverskoj bezbednosti - trenutne zaštite proveravaju poreklo ažuriranja, ali ne i sigurnost samog koda. Preporučujemo svim organizacijama da odmah inventarizuju svoje korišćene open-source zavisnosti, ažuriraju na čiste verzije paketa i sprovode pojačanu analizu sigurnosti developer okruženja.