В современном мире разработки программного обеспечения экосистема npm стала краеугольным камнем для миллионов проектов. Однако её широкое распространение делает её привлекательной целью для злоумышленников. Недавняя новая волна атак, обозначенная как S1ngularity/nx, привлекла внимание технологического сообщества своей масштабностью и изощренностью. Столкнувшись с этим, организации и разработчики вынуждены укреплять свои меры безопасности и пересматривать подходы к защите цепочек поставок программного обеспечения. В сентябре 2025 года была зарегистрирована крупномасштабная атака на npm, инициированная той же группой, что и ранее атаковавшая экосистему под названием Nx в августе того же года.
Первоначальные исследования показали, что 40 популярных пакетов оказались заражены вредоносным кодом, но последующий детальный анализ выявил уже 187 зараженных пакетов, среди которых оказались и некоторые решения CrowdStrike, лидера в области кибербезопасности. Атака реализована с использованием вредоносного ПО, которое действует как настоящий червь, способный автоматически распространяться и осуществлять ряд опасных действий. Основные цели этого зловредного кода - сбор и публикация конфиденциальных данных пользователя, проникновение в облачные среды и масштабное распространение через механизмы npm и GitHub. Вредоносная программа под именем Shai Hulud, что отсылает к культовой франшизе "Дюна", демонстрирует особенности современной киберугрозы. Основные этапы её активности включают сканирование хоста и CI/CD сред на наличие секретов, таких как токены, пароли и ключи доступа, используя инструменты вроде trufflehog и облачные метаданные AWS и GCP.
Собранные данные затем публикуются в специализированных репозиториях GitHub под названием "Shai-Hulud". Далее вредоносная программа внедряет новый GitHub Action - автоматический скрипт, который собирает данные секретов и отправляет их на сервер злоумышленников с помощью webhook-ссылки. Вместе с тем она меняет приватные репозитории на публичные, что подвергает опасности важную внутреннюю информацию, которая ранее была ограничена только авторизованными пользователями. Такое поведение само по себе вызывает серьезные опасения по вопросам безопасности. Но наибольшую угрозу представляет автоматическая саморепликация.
Вредоносный код использует найденные npm токены для модификации и повторной публикации зараженных пакетов под управлением скомпрометированных аккаунтов. В процессе происходит автоматическое повышение версий пакетов, добавление в них вредоносных скриптов и повторный пуш в реестр npm. Из-за этой автоматизации каждая зараженная версия пакета становится новым источником заражения для конечных пользователей. Когда разработчик или приложение устанавливает модифицированную библиотеку, вредоносный код выполняется, внедряется и запускает цепочку повторного распространения. Такой способ масштабного заражения и является одной из отличительных черт атаки S1ngularity/nx, превращая вредоносное программное обеспечение в настоящий червь, угрожающий всей экосистеме.
Еще одна опасность заключается в активном воздействии на доступные репозитории на GitHub у пользователя. Атака делает приватные репозитории открытыми, публикуя тем самым конфиденциальные данные и исчерпывающую информацию о проекте для широкой публики. Это подрывает безопасность даже тех организаций, которые полагались на ограничение доступа к коду. Среди затронутых пакетов оказались множество как широко известных, так и специализированных разработок, включая библиотеки и инструменты из различных областей - от UI-компонентов до системных утилит. Столь масштабное распространение подтолкнуло экспертов к необходимости оперативных действий по выявлению зараженных пакетов и внедрению контрмер.
Для разработчиков и компаний, использующих npm, ситуация требует немедленного внимания. Прежде всего необходимо проверить версии используемых библиотек и обновить их, ориентируясь на рекомендации официальных поставщиков и исследователей безопасности. Важным шагом является очистка локального кэша npm, а также повторная установка всех зависимостей в проекте с использованием замороженных (pinned) версий, чтобы исключить случайное внедрение вредоносного кода. Инструменты безопасности стали чрезвычайно востребованными на фоне подобных атак. Платформа Aikido Security, которая специализируется на защите цепочек поставок и обнаружении вредоносных пакетов, предоставляет эффективные средства для обнаружения подобных угроз.
Если вы используете Aikido, следует проверить центральный фид на наличие критических предупреждений с максимальным рейтингом опасности. Опция полного пересканирования репозиториев позволит выявить и изолировать угрозы. Для организаций, еще не подключившихся к средствам автоматического мониторинга, крайне рекомендуются создание учетной записи и интеграция с репозиториями. Aikido предлагает бесплатный план с расширенным покрытием по обнаружению вредоносного ПО, что значительно облегчает первичную диагностику и профилактику. Кроме того, в арсенале разработчиков доступен open-source проект Aikido SafeChain - безопасная оболочка для менеджеров пакетов npm, npx, yarn, pnpm и pnpx.
SafeChain работает посредником в существующих цепочках разработки, проверяя каждую команду установки и блокируя встраивание потенциально опасных пакетов. Эта система опирается на Threat Intelligence данные, предоставляемые Aikido Intel, и помогает заблаговременно остановить заражение. Современные атаки, подобные S1ngularity/nx, подчеркивают важность стратегического подхода к безопасности разработки. Злоумышленники переходят от точечных взломов к созданию вредоносных "червей" с автоматическим распространением, что требует нового уровня внимания и профилактических мер от DevOps команд и специалистов по безопасности. Кроме технических шагов, нельзя забывать и о необходимости регулярного обучения и повышения грамотности разработчиков в вопросах безопасности.
Понимание того, как быстро распространяется вредоносный код, каким образом можно минимизировать риски и эффективно реагировать, становится ключом к защите современных проектов. В целом, атака S1ngularity/nx стала важным напоминанием о уязвимостях в цепочке поставок программного обеспечения и о необходимости комплексного мониторинга. Использование современных платформ безопасности, наложение строгих правил доступа, регулярное обновление и аудит кодовой базы - эти меры способны значительно снизить риски и предотвратить серьезные последствия вредоносных решений. Постоянное совершенствование инструментов мониторинга и интеграция AI-технологий в сферу безопасности открывают новые возможности для автоматического обнаружения и нейтрализации таких угроз. Внимание к деталям, своевременность обновлений и корпоративная культура безопасности станут главными факторами успеха в борьбе с растущими киберугрозами в экосистеме npm и за её пределами.
.
