Новата вълна от атаки срещу open source екосистемата

След серия от мащабни supply chain атаки срещу екосистемата на NPM, платформата предприе извънредна стъпка и наложи глобално нулиране на токени за достъп, които заобикалят двуфакторната автеникация (2FA). Решението идва след активността на зловредния код Mini Shai Hulud, който успя да компрометира над 1000 NPM пакета само за малко повече от седмица.

Атаката засегна милиони разработчици по света и отново постави под въпрос сигурността на open source веригата за доставки. Междувременно се появиха информации, че дори инфраструктура на GitHub – собственик на NPM – е била компрометирана при отделен supply chain инцидент, макар засега да няма официално потвърждение за връзка с кампанията на Shai Hulud.

Какво представлява Mini Shai Hulud

Mini Shai Hulud е самовъзпроизвеждащ се malware worm, създаден специално за компрометиране на NPM екосистемата. След заразяване той краде NPM токени, идентификационни данни и друга чувствителна информация, след което автоматично публикува нови заразени пакети без човешка намеса.

Това превръща атаката в особено опасна, защото разпространението се случва автономно и с висока скорост.

Според изследователи по киберсигурност, зад кампанията стои групата TeamPCP, която придоби известност в края на 2025 г. Хакерите дори са публикували malware кода публично и са насърчили други групи да участват в своеобразно „състезание“ за нанасяне на максимални щети върху open source екосистемата.

Засегнати са популярни библиотеки с милиони изтегляния

Сред компрометираните пакети попадат широко използвани JavaScript библиотеки и компоненти, включително:

• jest-canvas-mock
• jest-date-mock
• echarts-for-react
• компоненти от екосистемата @antv
• пакети, свързани с TanStack и Mistral AI

Някои от тях се използват милиони пъти седмично, което превръща атаката в потенциален риск за огромен брой проекти и корпоративни среди.

Как реагира NPM

В отговор на инцидента NPM обяви, че автоматично анулира всички granular access tokens с права за публикуване, които могат да заобикалят 2FA механизмите.

Според компанията това трябва да прекъсне достъпа на атакуващите до вече компрометирани акаунти и CI/CD среди.

Проблемът обаче е по-дълбок.

Защо това не решава основния проблем

Макар принудителното нулиране на токени да ограничава текущите злоупотреби, експерти предупреждават, че това е временна мярка. Самият malware продължава да действа и да краде нови токени от заразени системи.

Особено уязвими остават автоматизираните CI/CD процеси, където разработчиците често използват токени, които заобикалят 2FA, за да улеснят автоматичното публикуване на пакети.

Именно тези среди се превърнаха в основна цел на атакуващите.

Trusted Publishing и OIDC – достатъчни ли са

NPM насърчава разработчиците да преминат към т.нар. Trusted Publishing, базиран на OpenID Connect (OIDC). Вместо дългосрочни токени, системата използва краткотрайни удостоверявания между GitHub и NPM.

Това намалява риска от кражба на постоянни credentials, но не елиминира проблема напълно.

При предишни атаки срещу TanStack, същите заплахи успяха да злоупотребят именно с OIDC Trusted Publishing, след като компрометираха CI/CD workflows и инжектираха злонамерен код директно в процеса по публикуване.

Това показва, че дори модерните механизми за удостоверяване могат да бъдат заобиколени, ако самата инфраструктура на разработка бъде пробита.

Supply chain атаките се превръщат в една от най-опасните заплахи

Случаят с Mini Shai Hulud е поредното доказателство, че supply chain атаките вече не са изолирани инциденти, а системен риск за софтуерната индустрия.

Open source екосистемата разчита на огромен брой взаимосвързани библиотеки и автоматизирани процеси, което позволява на атакуващите да разпространяват malware през доверени канали с минимални усилия.

За организациите това означава, че защитата вече не може да се ограничава само до endpoint сигурност. Нужни са:

• постоянен мониторинг на dependencies;
• контрол върху CI/CD процесите;
• ограничаване на привилегиите;
• защита на разработчиците и инфраструктурата;
• поведенчески анализ и откриване на аномалии.

Open source екосистемата навлиза в нов етап на киберрискове

Атаките с Mini Shai Hulud показват колко лесно автоматизацията и доверието в open source средата могат да бъдат използвани срещу самите разработчици.

Докато платформите като NPM въвеждат допълнителни защити, заплахите стават все по-автономни, мащабируеми и трудни за спиране.

В следващите години supply chain сигурността вероятно ще се превърне в един от най-критичните елементи на киберзащитата както за разработчиците, така и за организациите, които изграждат бизнеса си върху open source технологии.