Fejlesztők ezreit érintette
A Wiz kiberbiztonsági kutatói szerint három nap alatt több mint 25 000 fejlesztő érzékeny adatai kerültek veszélybe. Nemcsak a PostHog csomagjai voltak érintettek, hanem például a Zapier, AsyncAPI, ENS Domains és Postman is, amelyeket akár ezrek töltenek le hetente. A Shai-Hulud 2.0 nem egyszerű trójai: képes ellopni npm- és GitHub-tokeneket, valamint felhőszolgáltatók (AWS, Azure, GCP) belépési adatait, környezeti változókat és más érzékeny információkat is.
Súlyos CI/CD hiba engedte be a fenyegetést
A támadás valódi oka egy hibás CI/CD folyamat volt, amely lehetővé tette, hogy egy rosszindulatú pull request olyan jogosultságokat kapjon, hogy titkokat szerezzen a vállalat teljes infrastruktúrájából. Az automatizált folyamat megbízott a támadó által beküldött változatban, így a támadó hozzájutott egy bot személyes hozzáférési tokenjéhez, amellyel újabb rosszindulatú kódot tudott elhelyezni.
Szigorúbb védelem érkezik
A PostHog visszavonta az összes érintett tokent, eltávolította a fertőzött csomagokat, és csak megbízható forrásból ad ki új verziókat. Átalakította az ellenőrzési folyamatokat, letiltotta a telepítő szkriptek automatikus futtatását, és bevezette a megbízható kiadó (trusted publisher) modellt. A botok túlzott jogosultsága, a kritikus folyamatok automatikus futtatása és a túl laza függőségkezelés már beláthatatlan károkat okozhat – a Shai-Hulud 2.0 féreg ennyitől is szárnyra kapott.
