Post-mortem of Shai-Hulud attack on November 24th, 2025
6 months ago
- #npm
- #github
- #security
- 2025年11月24日,恶意自复制蠕虫Shai-Hulud 2.0入侵了PostHog的SDK和软件包。
- 该蠕虫利用预安装脚本扫描并窃取凭证,随后通过发布恶意npm包进行传播。
- PostHog于UTC时间9:30前识别并删除恶意包,撤销受损令牌并轮换凭证。
- 受影响软件包包括posthog-node、posthog-js、posthog-react-native等特定版本。
- 建议用户检查恶意文件、审查npm日志、删除缓存依赖项并锁定已知安全版本。
- 攻击源于PostHog机器人被盗的GitHub个人访问令牌,攻击者借此窃取npm发布令牌。
- 攻击者通过拉取请求利用工作流漏洞,修改脚本窃取凭证并释放蠕虫。
- PostHog的开源特性及对GitHub工作流触发机制的误解共同导致此次安全漏洞。
- 事后分析表明,该攻击是针对多家厂商的广泛攻击行动的一部分。
- PostHog正实施更严格的安全措施,包括可信发布者模型、加强PR审查和改进密钥管理。
- 此次事件促使PostHog全面提升安全建设,包括招募专职安全人员。