Zapierin NPM-tili hakkeroitu ja 425 pakettia on saanut tartunnan Shai Hulud -haittaohjelma. Hyökkäys vaaransi onnistuneesti Zapierin NPM-tilin, mikä johti haitallisen koodin ruiskuttamiseen suureen määrään npm-paketteja, joita käytetään sekä kehitys- että tuotantoympäristöissä maailmanlaajuisesti. Hyökkäys vaikuttaa kriittisiin infrastruktuurikomponentteihin, kehitystyökaluihin ja CI CD -ympäristöihin, ja se on yksi laajimmista vuonna 2025 havaituista toimitusketjuuhkista.
The tartunnan saaneet paketit Ne tuottavat yhdessä noin 132 miljoonaa latausta kuukaudessa, mikä tekee leviämisestä maailmanlaajuista ja mahdollisesti katastrofaalista organisaatioille, jotka eivät aktiivisesti valvo riippuvuuksiaan tai käytä tietoturvatarkistuksia asennuksen aikana.
Useat korkean profiilin projektit ja organisaatiot ovat kärsineiden joukossa, mukaan lukien AsyncAPI ENS Domains, PostHog Postman ja itse Zapier. Vaarantuneet kirjastot ovat käytössä kaikessa API-dokumentaatiosta ja analytiikkatyökaluista todennukseen. SDK-moduulit ja integroidut tuotantoympäristöt, mikä tekee hyökkäyspinnasta laajan ja erittäin vaikeasti hallittavan.
Usein käytetyt paketit ovat saastuneita
Vaikuttavat paketit sisältävät ydinkirjastoja, kuten @zapier mcp integration, @posthog nextjs, @asyncapi cli ja @postman secret scanner wasm. Näitä löytyy usein sekä tuotantoputkista että kehitysympäristöistä, joissa ne asennetaan automaattisesti riippuvuuksien hallinnan kautta, mikä tarkoittaa, että monet organisaatiot ovat saattaneet altistua tietämättään.
Tapaus osoittaa selvästi, kuinka vakavasta asiasta on kyse, kun Zapierin NPM-tili hakkeroidaan ja siitä tulee osa suurempaa toimitusketjuhyökkäystä, joka voi nopeasti levitä riippuvuusketjujen läpi ja vaikuttaa tuhansiin projekteihin samanaikaisesti.
Useilla paketeilla on kriittinen tai korkea riskitaso, koska ne ladataan ympäristöissä, joissa on pääsy todennusavaimiin, arkaluonteisiin lokeihin tai sisäisiin tietoihin. API-kutsu. Tämä tarkoittaa, että haitallisen koodin kyky varastaa ja manipuloida tietoja on huomattavasti suurempi kuin perinteisissä asiakashyökkäyksissä.
Matojen lisääntyminen ja edistynyt lisääntymisteknologia
Mukaan Aikido-turvallisuustyöt Shai Hulud Haittaohjelma itseään leviävänä matona, joka käyttää setup bun.js:ään upotettua leviämismekanismia levitäkseen muihin riippuvuuksiin.
Kun paketti asennetaan, mato kirjoittaa alustavan testikoodin bundleAssets-funktiolle ja yrittää sitten löytää tai ladata Bun-suoritusaikaympäristön. Jos Bun löytyy tai se voidaan asentaa, suoritetaan hyötykuorma bun environment.js, joka on ensisijainen haitallinen moduuli.
Tekniikka osoittaa, että hyökkääjillä on syvällinen ymmärrys npm-asennuksista ja siitä, miten nykyaikaiset rakennusputket käsittelevät riippuvuuksia. Mato tarkistaa järjestelmäpolut, yrittää asentaa Bunin, jos se puuttuu, ja käsittelee ympäristömuuttujia varmistaakseen suorituksen. Ikkunat Linux ja macOS.
Salaisuuksien varastaminen ja vuotaneet valtakirjat
Shai Hulud ei ole vain suoritustyökalu, vaan myös edistynyt moduuli arkaluonteisten tietojen varastamiseen. Se poimii API-avainten tunnukset ja sisäisiä salaisuuksia tartunnan saaneista järjestelmistä ja lataa ne automaattisesti palvelimelle GitHub-arkistot satunnaisilla nimillä ja toistuvalla kuvauksella Sha1 Hulud The Second Coming.

Analyysi osoittaa, että noin 26 300 tietovarastoa sisältää nyt vuotaneita tunnistetietoja, mikä aiheuttaa valtavan riskin toissijaisille hyökkäyksille. Uhkatoimijat voivat käyttää näitä avaimia saadakseen pääsy pilvi-infrastruktuurin kehitysympäristöjen sisäisiin järjestelmiin ja ulkoiset palvelut.
Hyökkääjät tekivät useita kriittisiä virheitä
Tutkijat ovat havainneet, että useissa tartunnan saaneissa paketeissa oli vain asennustiedosto bun.js, mutta niistä puuttui madon ensisijainen hyötytiedosto bun environment.js, mikä viittaa epätäydelliseen käyttöönottoon tai virheelliseen kokoonpanoon hyökkäyksen aikana.
Ensisijaisen hyötykuorman puuttuminen rajoittaa hyökkäyksen suoraa vaikutusta, mutta testikoodi on silti vaarallinen, koska se luo pysyvyyden ja antaa hyökkääjille mahdollisuuden toimittaa toimivan hyötykuorman myöhemmin vaarantamatta paketteja uudelleen.
Miksi hyökkäys on niin vaarallinen kehitysketjulle
| Paketin nimi | Organisaatio | Käyttötapaus | Riskitaso |
|---|---|---|---|
| @zapier/mcp-integration | Zapier | Mallikontekstin protokollan integrointi | Kriittinen |
| @zapier/ai-actions | Zapier | Tekoälytoimintojen moduuli | Korkea |
| @zapier/zapier-sdk | Zapier | Zapier-alustan SDK | Kriittinen |
| @posthog/nextjs | PostHog | Next.js-analytiikkalaajennus | Kriittinen |
| @posthog/cli | PostHog | Komentorivikäyttöliittymä | Korkea |
| @posthog/plugin-server | PostHog | Tapahtumien käsittelypalvelin | Kriittinen |
| @asyncapi/cli | AsyncAPI | AsyncAPI CLI -työkalu | Kriittinen |
| @asyncapi/generaattori | AsyncAPI | API-dokumentaation generaattori | Korkea |
| @asyncapi/parser | AsyncAPI | Kaaviojäsennin | Korkea |
| @postman/salaisuusskanneri-wasm | Postinkantaja | Salainen skannaus (WASM) | Kriittinen |
| @postman/postman-mcp-cli | Postinkantaja | Mallikontekstiprotokollan komentorivi | Kriittinen |
| @postman/pm-bin-linux-x64 | Postinkantaja | Postman Linux Binary | Kriittinen |
| @ensdomains/ensjs | ENS-verkkotunnukset | ENS JavaScript-kirjasto | Korkea |
| @ensdomains/ens-contracts | ENS-verkkotunnukset | Älykkäät sopimukset | Korkea |
| posthog-js | PostHog | JavaScript-analytiikka | Kriittinen |
| posthog-solmu | PostHog | Node.js-analytiikka | Kriittinen |
| zapier-platform-cli | Zapier | Zapier CLI -alusta | Kriittinen |
| zapier-platform-core | Zapier | Zapier-ydinkirjasto | Kriittinen |
Hyökkäys Zapier-paketteihin havainnollistaa, kuinka haavoittuvainen ekosysteemi on riippuvuushyökkäyksille. Monet yritykset käyttävät tuhansia npm-paketteja CI CD -putkissaan, ja harvoilla on täysi hallinta koko riippuvuuspuuhun. Kun paketti vaarantuu, seuraukset voivat levitä nopeasti koodikannoissa ja ympäristöissä.
Organisaatiot, joilla ei ole versiolukitusta, automaattista skannausta tai reaaliaikaista valvontaa, ovat erityisen vaarassa, koska tartunnan saaneet paketit voidaan asentaa automaattisesti jokaisen koontiversion mukana.
Suosituksia kaikille kehitystiimeille
Vähentää riskin tulisi olla yritysten heti:
• Inventaari, mitkä kyseisistä paketeista ovat käytössä
• Käy läpi kaikki CI CD -putket löytääksesi odottamattomia asennuksia
• Skannaa koodikantoja ja säilöjä asennusbunin ja bun-ympäristön jälkien varalta
• Peruuta kaikki todennusavaimet ja -tunnukset
• Ota käyttöön tiukat riippuvuuksien hallintaa ja versiolukitusta koskevat käytännöt
• Ota käyttöön uusien GitHub-arkistojen reaaliaikainen seuranta
• Työkalujen käyttö ohjelmistokoostumuksen analysointiin
Tulevaisuuteen katsominen ja johtopäätös
Tämä hyökkäys korostaa, kuinka nopeasti kehitysketjusta voi tulla hyökkäysvektori ja kuinka tärkeää on olla ennakoiva tietoturvakäytäntöjen kanssa. Uhkatoimijat kohdistavat nyt hyökkäyksiä suoraan kehitystyökaluihin, koska ne tarjoavat maksimaalisen pääsyn hyökkäyksille ja minimaalisen havaitsemisajan.
Yritysten on vahvistettava heidän tietoturvamallinsa työkalujen, prosessien valvonnan ja koulutuksen osalta. Ilman vankkaa strategiaa organisaatiot ovat vaarassa joutua vastaavien hyökkäysten uhreiksi, vaikka niiden omat järjestelmät olisivatkin suojattuja.








