Shai-Hulud 2.0: svarbiausias lapkričio incidentas  

Pagrindinė mėnesio naujiena buvo „Shai-Hulud” kampanijos atgimimas – dabar ji plačiai vadinama „Shai-Hulud 2.0″.  

Pirmą kartą pastebėta 2025 m. rugsėjį, ataka grįžo lapkritį didesniu mastu:  

• Buvo kompromituotos dešimtys npm prižiūrėtojų paskyrų.  
• Trojos arklio kodu užkrėsti paketai plito per prieš diegimą paleidžiamus scenarijus (angl. preinstall scripts), kurie suveikia automatiškai diegimo proceso pradžioje.  
• Buvo paveikta tūkstančiai „GitHub” saugyklų, iš daugelio nutekėjo prieigos raktai, debesijos API raktai ir CI/CD sistemų prisijungimo duomenys.  
• Kai kuriuose viruso variantuose buvo destruktyvi elgsena – programuotojų aplinkos buvo ištrinamos, jei duomenų vagystė nepavykdavo.  

Lapkričio banga parodė, kaip greitai tiekimo grandinės atakos gali evoliucionuoti. Tai, kas prieš du mėnesius prasidėjo kaip tikslinė prisijungimo duomenų rinkimo kampanija, išaugo į kirmino pobūdžio ataką, paveikusią programuotojus ir organizacijas visame pasaulyje.  

Kas dar įvyko 2025 m. lapkritį?  

1. Padažnėjusios atakos prieš tapatybės infrastruktūrą

Ne viena incidento ataskaita išryškino atakas prieš:  

• Tapatybės tikrinimo tarpinius serverius  
• Tapatybės ir prieigos valdymo (IAM) sinchronizavimo įrankius  
• Tapatybę kaip paslaugą (IDaaS) teikiančias platformas  

Užpuolikai persiorientavo į prieigos raktų vagystę ar klastojimą, atsisakydami „brute-force“ atakų prisijungimo duomenims išgauti.  

2. Išpirkos reikalaujančios programos išlieka aktyvios 

Išpirkos reikalaujančių programų grupės tęsė veiklą, daugiausia koncentruodamosi į gamybos, logistikos ir sveikatos apsaugos sektorius. Tačiau mėnesio veikla buvo santykinai „įprasta”, palyginti su tiekimo grandinės chaosu – retas atvejis, kai išpirkos reikalaujančios programos netapo pagrindine naujiena.  

Pagrindinės išvados  

• Tiekimo grandinės saugumas dabar yra pagrindinis, o ne pasirenkamas reikalavimas. Lapkričio „Shai-Hulud” banga parodė, kad kelių prižiūrėtojų ar kūrimo vamzdynų kompromitavimas gali plisti į dešimtis tūkstančių priklausomų sistemų.  
• Prisijungimo duomenys yra pagrindinis taikinys – ne šifravimas, ne destrukcija. Nuolatinė prieiga yra vertingesnė.  
• Daugėja atakų prieš CI vykdymo aplinkas, kūrimo vamzdynus ir paketų pasirašymo raktus.  
• Grėsmių veikėjai eksperimentuoja su automatizuotu plitimu – tiekimo grandines naudoja kaip efektyvius platinimo kanalus.  

Žvilgsnis į ateitį  

Organizacijos turėtų teikti pirmenybę:  

• Priklausomybių vientisumo kontrolei ir paketų šaltinių tikrinimui  
• Paslapčių rotacijai ir sustiprintoms CI/CD aplinkoms  
• Anomalijų tapatybės ir debesijos veiklos stebėsenai  
• Automatinio scenarijų vykdymo mažinimui diegimo procese  

2025 m. lapkritis parodė, kad kibernetinio saugumo aplinka keičiasi: užpuolikai eina aukštyn srautu, įsitvirtindami įrankiuose ir ekosistemose, nuo kurių priklauso šiuolaikinė programinė įranga. Tiekimo grandinės stiprinimas bus itin svarbus žengiant į 2026 metus. 

Šis straipsnis – dalis „SOCshare“ projekto, kuriuo siekiama skatinti efektyvesnį dalijimąsi informacija apie kibernetines grėsmes ir jų aptikimo būdus. Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.