La seconda ondata dell’attacco alla supply chain di Shai-Hulud colpisce l’ecosistema Maven
La seconda ondata dell’attacco alla supply chain di Shai-Hulud ha travolto l’ecosistema Maven dopo aver compromesso oltre 830 pacchetti nel registro npm. Il team di ricerca di Socket ha identificato un pacchetto Maven Central denominato org.mvnpm:posthog-node:4.18.1 che incorpora gli stessi due componenti associati a Shai-Hulud: il loader “setup_bun.js” e il payload principale “bun_environment.js”. L’azienda ha comunicato a The Hacker News che org.mvnpm:posthog-node:4.18.1 è l’unico pacchetto Java identificato finora.
Questo sviluppo indica che il progetto PostHog ha compromesso le versioni sia negli ecosistemi JavaScript/npm che Java/Maven, guidato dallo stesso payload Shai Hulud v2. È importante notare che il pacchetto Maven Central non è pubblicato direttamente da PostHog. Piuttosto, le coordinate “org.mvnpm” sono generate tramite un processo automatizzato mvnpm che ricostruisce i pacchetti npm come artefatti Maven. Maven Central ha dichiarato di essere al lavoro per implementare protezioni aggiuntive per prevenire il rebundling di componenti npm già compromessi. Al 25 novembre 2025, 22:44 UTC, tutte le copie specchiate sono state eliminate.
Un attacco globale mirato a rubare dati sensibili
Questo attacco, definito come la “seconda venuta” dell’incidente alla supply chain, ha preso di mira sviluppatori a livello globale con l’obiettivo di rubare dati sensibili come chiavi API, credenziali cloud e token npm e GitHub, facilitando una compromissione più profonda della supply chain in modo simile a un worm. L’ultima iterazione è diventata più furtiva, aggressiva, scalabile e distruttiva.
Oltre a riprendere la catena di infezione complessiva della variante iniziale di settembre, l’attacco consente agli attori delle minacce di ottenere accesso non autorizzato agli account dei manutentori npm e pubblicare versioni trojanizzate dei loro pacchetti. Quando gli sviluppatori ignari scaricano ed eseguono queste librerie, il codice dannoso incorporato crea backdoor nei loro computer e scansiona i segreti, esfiltrandoli nei repository GitHub utilizzando i token rubati.
Meccanismi di attacco avanzati e impatto su larga scala
L’attacco si realizza iniettando due workflow dannosi, uno dei quali registra la macchina della vittima come un runner self-hosted e abilita l’esecuzione di comandi arbitrari ogni volta che viene aperta una discussione su GitHub. Un secondo workflow è progettato per raccogliere sistematicamente tutti i segreti. Oltre 28.000 repository sono stati colpiti dall’incidente.
Questa versione migliora significativamente la furtività utilizzando il runtime Bun per nascondere la sua logica principale e aumenta il suo potenziale di scala alzando il limite di infezione da 20 a 100 pacchetti. Utilizza anche una nuova tecnica di evasione, esfiltrando i dati rubati in repository GitHub pubblici con nomi casuali anziché in uno singolo e codificato.
Considerazioni finali
Gli attacchi alla supply chain come quello di Shai-Hulud evidenziano quanto sia semplice per gli aggressori sfruttare i percorsi di distribuzione software fidati per diffondere versioni dannose su larga scala e compromettere migliaia di sviluppatori a valle. La natura auto-replicante del malware significa che un singolo account infetto è sufficiente per amplificare il raggio d’azione dell’attacco. È fondamentale che le comunità di sviluppo e le piattaforme di distribuzione software implementino misure di sicurezza più robuste per proteggere l’integrità dei loro ecosistemi e prevenire futuri attacchi di questo tipo.
Fonte: The Hackers News
