On 21-24 novembre 2025, una massiccia seconda ondata dell’attacco alla catena di fornitura Sha1-Hulud ha compromesso oltre 600 pacchetti npm appartenenti a grandi organizzazioni, tra cui Zapier, ENS Domains, PostHog, AsyncAPI e Postman. L’attacco ha colpito oltre 25.000 repository, con una media di circa 1.000 nuovi repository compromessi ogni 30 minuti nel momento di maggiore intensità. Questi pacchetti rappresentano nel complesso 132 milioni di download mensili, creando un’esposizione estremamente ampia nell’ecosistema JavaScript.
| Data | 2025-11-26 17:26:49 |
Riassunto tecnico
L’attacco rappresenta un’evoluzione significativa rispetto alla campagna Shai-Hulud di settembre 2025, introducendo diverse nuove capacità pericolose. Gli aggressori hanno compromesso account di maintainer per pubblicare versioni trojanizzate che si eseguono durante la fase di preinstallazione, garantendo l’esecuzione sui server di build e aggirando gli strumenti di scansione statica.
Il payload malevolo utilizza un approccio in due fasi:
- Durante la fase di preinstallazione,
setup_bun.jsinstalla o localizza il runtime Bun bun_environment.jsesegue poi il payload principale malevolo
Principali capacità malevole:
- Furto automatico di credenziali usando TruffleHog per scansionare token npm, credenziali cloud e variabili d’ambiente
- Registrazione automatica di GitHub runner self-hosted con workflow malevoli per l’esecuzione di comandi
- Esfiltrazione incrociata tra vittime, in cui i segreti di una vittima vengono inviati al repository di un’altra
- Meccanismo di auto-rigenerazione tramite ricerca GitHub per recuperare se i repository vengono eliminati
- Propagazione automatica che infetta fino a 100 pacchetti per ogni token compromesso
Funzionalità di cancellazione distruttivache elimina l’intera home directory dell’utente se fallisce l’esfiltrazione- Escalation dei privilegi su Linux tramite Docker per ottenere accesso root
Pacchetti compromessi e relative versioni:
I seguenti pacchetti (492 in totale) sono stati confermati come compromessi in questa ondata. I pacchetti chiave colpiti includono:
| Organizzazione | Pacchetti principali compromessi |
|———————-|———————————-|
| AsyncAPI | @asyncapi/cli, @asyncapi/generator, @asyncapi/parser |
| PostHog | posthog-node, posthog-js, @posthog/cli |
| Postman | @postman/secret-scanner-wasm, @postman/csv-parse |
| ENS Domains | @ensdomains/ensjs, @ensdomains/ui, @ensdomains/thorin |
| Zapier | @zapier/zapier-sdk, zapier-platform-core, zapier-platform-cli |
[L’elenco completo dei 492 pacchetti]
@asyncapi/diff
@asyncapi/nodejs-ws-template
go-template
… (elenco completo omesso per brevità)
Raccomandazioni
-
Contenimento immediato: Scansionare tutti i progetti alla ricerca dei pacchetti elencati sopra e rimuovere immediatamente le versioni compromesse. Pulire le cache npm/yarn/pnpm e riesaminare i file package-lock.
-
Rotazione delle credenziali: Assumere che tutte le credenziali siano compromesse. Ruotare immediatamente:
- Token NPM (soprattutto prima della revoca dei token classic di npm prevista per il 9 dicembre)
- Credenziali dei provider cloud (AWS, GCP, Azure)
- Token di accesso personale e token OAuth di GitHub
- Qualsiasi altro segreto memorizzato negli ambienti di sviluppo
- Audit dei repository: Verificare tutti i repository GitHub per:
- Repository pubblici inaspettati con nomi casuali di 18 caratteri
- File di workflow sospetti in .github/workflows/
- Runner self-hosted inaspettati denominati “SHA1HULUD”
- Descrizioni dei repository contenenti “Sha1-Hulud: The Second Coming”
- Rafforzamento della catena di fornitura:
- Imporre il pinning rigoroso delle dipendenze e l’uso dei file di lock
- Implementare la scansione automatica delle dipendenze con notifiche
- Migrare alla pubblicazione fidata di npm prima della scadenza del 9 dicembre
- Abilitare 2FA con chiavi hardware per tutti gli account maintainer
- Risposta all’incidente: Assumere il compromesso di qualsiasi sistema che abbia eseguito questi pacchetti. Condurre un’analisi forense completa dei sistemi di build e delle workstation degli sviluppatori potenzialmente esposte.