מתקפת תולעת ה-npm "שאי-חולוד" - איום חדש על מערכות האקולוגיות המרכזיות

#1 · 25/11/2025, 12:47

ציטוט מ מערכת האתר ב 25/11/2025, 12:47

בתאריך 24 בנובמבר, חברת האבטחה אייקידו זיהתה גל שני של תולעת ה-npm המתפשטת בעצמה, הנקראת "שאי-חולוד". התולעת פגעה ב-492 חבילות עם סך של 132 מיליון הורדות חודשיות, והצליחה להשפיע על מערכות אקולוגיות מרכזיות כמו AsyncAPI, PostHog, Postman, Zapier ו-ENS. המתקפה התרחשה בתקופה קריטית לפני תאריך היעד של npm לביטול אסימוני אימות ישנים ב-9 בדצמבר.

המתקפה זוהתה לראשונה בסביבות 3:16 לפנות בוקר לפי זמן אוניברסלי, כאשר גרסאות זדוניות של תבנית ה-go של AsyncAPI וחבילות קשורות החלו להתפשט. התוקפים השתמשו במיתוג תיאטרלי והעניקו לתולעת את השם "שאי-חולוד: בואה השני". התולעת נועדה להתקין את המנוע Bun במהלך התקנת החבילה, ולאחר מכן לבצע קוד זדוני שמחפש סודות חשופים בסביבות פיתוח.

התולעת משתמשת בכלי TruffleHog כדי לאתר מפתחות API, אסימוני GitHub ואישורי npm שנפגעו. הנתונים הגנובים מתפרסמים במאגרים ציבוריים עם שמות אקראיים, דבר שמקשה על הסרתם. בנוסף, אם התולעת לא מצליחה לאמת עם GitHub או npm, היא מוחקת את כל הקבצים בספריית הבית של המשתמש, מה שמגביר את הנזק הפוטנציאלי.

המתקפה של נובמבר הציגה מספר שינויים לעומת המתקפה הקודמת בספטמבר. התוכנה הזדונית יוצרת מאגרים עם שמות אקראיים עבור הנתונים הגנובים במקום להשתמש בשמות קבועים מראש. קוד ההתקנה מתקין את Bun באמצעות setup_bun.js לפני שהוא מבצע את המטען הראשי ב-bun_environment.js, שמכיל את לוגיקת התולעת ונהלי גניבת האישורים.

על אף כשלים טכניים שהגבילו את התפשטות המתקפה, הפגיעות הראשוניות פגעו במטרות בעלות ערך גבוה. חבילות AsyncAPI שלטו בגל הראשון של המתקפה, כאשר 36 שחרורים פגומים זוהו. חבילות PostHog, Postman, Zapier ו-ENS נפגעו גם הן, מה שהשפיע על מגוון רחב של תוספים ומאגרים.

ההשלכות של המתקפה רחבות היקף. צוותי אבטחה נדרשים לבדוק את כל התלויות מהמערכות האקולוגיות שנפגעו, במיוחד חבילות שהותקנו או עודכנו לאחר ה-24 בנובמבר. יש לסובב את כל הסודות של GitHub, npm, ענן ו-CI/CD שהיו בשימוש בסביבות אלו ולחפש מאגרים ב-GitHub עם התיאור "שאי-חולוד: בואה השני".

התקפה זו מדגישה את החשיבות של אבטחת שרשרת האספקה בתהליכי פיתוח תוכנה. האם לדעתכם יש צורך בשינויים במדיניות האבטחה בהתייחס לאסימונים ולניהול סודות? כיצד ניתן לשפר את ההגנה על מערכות אקולוגיות מפני איומים דומים בעתיד? נשמח לשמוע את דעתכם.

בתאריך 24 בנובמבר, חברת האבטחה אייקידו זיהתה גל שני של תולעת ה-npm המתפשטת בעצמה, הנקראת "שאי-חולוד". התולעת פגעה ב-492 חבילות עם סך של 132 מיליון הורדות חודשיות, והצליחה להשפיע על מערכות אקולוגיות מרכזיות כמו AsyncAPI, PostHog, Postman, Zapier ו-ENS. המתקפה התרחשה בתקופה קריטית לפני תאריך היעד של npm לביטול אסימוני אימות ישנים ב-9 בדצמבר.

המתקפה זוהתה לראשונה בסביבות 3:16 לפנות בוקר לפי זמן אוניברסלי, כאשר גרסאות זדוניות של תבנית ה-go של AsyncAPI וחבילות קשורות החלו להתפשט. התוקפים השתמשו במיתוג תיאטרלי והעניקו לתולעת את השם "שאי-חולוד: בואה השני". התולעת נועדה להתקין את המנוע Bun במהלך התקנת החבילה, ולאחר מכן לבצע קוד זדוני שמחפש סודות חשופים בסביבות פיתוח.

התולעת משתמשת בכלי TruffleHog כדי לאתר מפתחות API, אסימוני GitHub ואישורי npm שנפגעו. הנתונים הגנובים מתפרסמים במאגרים ציבוריים עם שמות אקראיים, דבר שמקשה על הסרתם. בנוסף, אם התולעת לא מצליחה לאמת עם GitHub או npm, היא מוחקת את כל הקבצים בספריית הבית של המשתמש, מה שמגביר את הנזק הפוטנציאלי.

המתקפה של נובמבר הציגה מספר שינויים לעומת המתקפה הקודמת בספטמבר. התוכנה הזדונית יוצרת מאגרים עם שמות אקראיים עבור הנתונים הגנובים במקום להשתמש בשמות קבועים מראש. קוד ההתקנה מתקין את Bun באמצעות setup_bun.js לפני שהוא מבצע את המטען הראשי ב-bun_environment.js, שמכיל את לוגיקת התולעת ונהלי גניבת האישורים.

על אף כשלים טכניים שהגבילו את התפשטות המתקפה, הפגיעות הראשוניות פגעו במטרות בעלות ערך גבוה. חבילות AsyncAPI שלטו בגל הראשון של המתקפה, כאשר 36 שחרורים פגומים זוהו. חבילות PostHog, Postman, Zapier ו-ENS נפגעו גם הן, מה שהשפיע על מגוון רחב של תוספים ומאגרים.

ההשלכות של המתקפה רחבות היקף. צוותי אבטחה נדרשים לבדוק את כל התלויות מהמערכות האקולוגיות שנפגעו, במיוחד חבילות שהותקנו או עודכנו לאחר ה-24 בנובמבר. יש לסובב את כל הסודות של GitHub, npm, ענן ו-CI/CD שהיו בשימוש בסביבות אלו ולחפש מאגרים ב-GitHub עם התיאור "שאי-חולוד: בואה השני".

התקפה זו מדגישה את החשיבות של אבטחת שרשרת האספקה בתהליכי פיתוח תוכנה. האם לדעתכם יש צורך בשינויים במדיניות האבטחה בהתייחס לאסימונים ולניהול סודות? כיצד ניתן לשפר את ההגנה על מערכות אקולוגיות מפני איומים דומים בעתיד? נשמח לשמוע את דעתכם.