0 800 306 114
May 16, 2026
Одна з наймасштабніших supply chain-атак за останні роки - Shai-Hulud 2.0 - вразила екосистему npm та показала критичну вразливість у системах керування залежностями. За три дні зловмисники скомпрометували понад 621 npm-пакет, які разом генерують понад 132 мільйони завантажень на місяць. Інфекція поширилася у 25 000+ GitHub-репозиторіїв, зокрема серед компаній на кшталт Zapier, ENS Domains, PostHog та Postman.
Атака була побудована як самовідтворюваний черв’як, що рухався через ланцюги залежностей. Шкідливий код приховувався у preinstall-скриптах і запускався до будь-яких перевірок. Замість Node.js використовувався рантайм Bun, що ускладнювало детектування через традиційні засоби сканування.
Головною ціллю були секрети розробників: AWS, GCP, Azure credentials, GitHub-токени, після чого заражені машини автоматично додавались як GitHub runners для подальшого поширення атаки. Це фактично створило самопідтримуваний контур зараження в CI/CD-процесах, що становить значно більшу небезпеку, ніж окремі шкідливі пакети.
Інцидент Shai-Hulud 2.0 показав: більшість компаній недооцінюють ризики, що виникають не у власному коді, а в екосистемах, залежних від тисяч сторонніх компонентів. Supply chain - це зараз головний вектор атак, і його захист потребує не разових перевірок, а системного підходу.
Фахівці SHERIFF Кібербезпека підкреслюють, що атаки такого рівня - не поодинокі інциденти, а наслідок радикально зміненої моделі загроз. Бізнесу необхідно впроваджувати багаторівневий моніторинг, Zero Trust для CI/CD та регулярні перевірки залежностей, оскільки саме вони є найбільш уражуваною частиною сучасної інфраструктури.
Джерела: Check Point Research, Unit42 Palo Alto Networks, GitLab Security.
