Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нападот Shai-Hulud испорачува потпишани малициозни TanStack и Mistral npm пакети

Објавено: 13.05.2026

Стотици пакети на npm и PyPI се компромитирани во нова supply-chain кампања наречена Shai-Hulud, која испорачува malware за кражба на credentials насочен кон програмери.

Напаѓачите злоупотребиле валидни OpenID Connect (OIDC) токени за да објават малициозни верзии на пакети со проверлива provenance attestation (SLSA Build Level 3).

Нападот, кој ѝ се припишува на групата TeamPCP, започнал со компромитирање десетици пакети на TanStack и Mistral AI, но брзо се проширил и на други популарни проекти како Guardrails AI, UiPath и OpenSearch.

Кампањата Shai-Hulud првпат се појави минатиот септември и имаше повеќе варијанти, од кои некои открија стотици илјади developer secrets во автоматски генерирани GitHub репозиториуми. Меѓу поново компромитираните проекти се и Bitwarden CLI и официјалните SAP пакети.

Најновиот бран на напади се случил вчера, кога напаѓачите објавиле повеќе малициозни пакети во TanStack namespaces на npm, а потоа се прошириле и кон други проекти користејќи украдени CI/CD credentials.

Компанијата за безбедност на апликации StepSecurity наведува дека напаѓачите ги објавиле заразените пакети преку легитимниот CI/CD pipeline, со валидни SLSA provenance attestations издадени од npm signing инфраструктурата и „поврзани со легитимниот TanStack/router Release workflow.“

Endor Labs пријави повеќе од 160 компромитирани пакети на npm, Aikido Security регистрирал 373 малициозни package-version записи, а Socket следел 416 компромитирани package artifacts на npm и PyPI.

Според post-mortem извештајот на TanStack, напаѓачите комбинирале три ранливости: ризичен „pull_request_target“ workflow, poisoning на GitHub Actions cache и кражба на OIDC токени од runner меморијата.

Напаѓачите објавиле 84 малициозни верзии во 42 TanStack пакети кои имале валидно provenance, валидни Sigstore attestations и легитимни GitHub Actions потписи.

Од перспектива на програмер, пакетите изгледале криптографски автентични и немало никакви индикации дека се компромитирани.

Endor Labs истакнува и паметен Git commit трик во кој напаѓачите злоупотребиле orphaned commit поставен во fork од TanStack/router репозиториумот, правејќи го достапен преку shared fork object storage на GitHub иако не припаѓал на ниту една гранка.

Commit-от бил повикан преку малициозна optional dependency, што предизвикувало npm автоматски да преземе и изврши код контролиран од напаѓачите за време на инсталацијата.

Malware-от таргетира developer secrets, вклучувајќи:

  • GitHub Actions OIDC токени и PATs
  • Git credentials
  • npm publish токени
  • AWS Secrets Manager, IAM и ESC task credentials
  • Kubernetes service account токени и cluster credentials
  • HashiCorp Vault токени
  • SSH клучеви
  • Claude Code конфигурации
  • VS Code tasks
  • .env датотеки

Според StepSecurity, payload-от ја чита меморијата на GitHub Actions процесите за да собере credentials од повеќе од 100 патеки поврзани со cloud провајдери, крипто токени и messaging апликации.

За ексфилтрација на чувствителните податоци, malware-от ја користел Session P2P мрежата, правејќи сообраќајот да изгледа како енкриптирана messenger комуникација и отежнувајќи детекција, блокирање и takedown активности.

Откако ќе дојде до инфекција, malware-от се запишува во Claude Code hooks и VS Code auto-run tasks, така што деинсталирањето на малициозните пакети не го отстранува.

Механизмот за самораширувaње останува сличен на претходните варијанти: користи украдени GitHub/npm credentials, ги пребарува пакетите поврзани со компромитираниот maintainer, ги модифицира tarball датотеките за да го вметне payload-от и повторно објавува малициозни верзии.

Според платформата за supply-chain безбедност SafeDep, иако trigger механизмот е различен кај компромитираните Mistral AI и TanStack пакети, тие испорачуваат идентичен malware за кражба на credentials.

Microsoft Threat Intelligence анализирал payload испорачан преку малициозен Mistral AI пакет на PyPI. Напаѓачите го именувале „transformers.pyz“, веројатно за да се претстави како Transformers библиотеката од Hugging Face.

Истражувачите велат дека payload-от инсталира information-stealing malware на Linux системи. Stealer-от содржи основна geofencing логика и избегнува извршување на системи каде што се детектирани руски јазични поставки.

Присутна е и деструктивна secondary рутина. Во средини што изгледаат како да потекнуваат од Israel или Iran, malware-от воведува probabilistic sabotage механизам со 1-од-6 шанса да изврши рекурзивна команда за бришење „rm -rf /“.

Ова однесување потсетува на кампањата CanisterWorm што TeamPCP ја спроведе во март и беше насочена кон Kubernetes платформи. Ако CanisterWorm се извршел на машини што одговарале на временската зона и locale поставките на Иран, тој ги бришел системите.

Листите на компромитирани пакети се достапни во извештаите на различни безбедносни компании, а се препорачува проверка на сите ресурси за целосен увид во влијанието.

Програмерите што преземале погодени верзии на пакети треба да претпостават дека нивните credentials биле компромитирани. Истражувачите препорачуваат безбедносните тимови да ги преземат следните мерки:

  • проверка за погодени верзии на пакети
  • проверка за persistence механизми на developer машините
  • ротација на сите credentials (GitHub токени, npm токени, AWS credentials, Vault токени, Kubernetes service accounts и CI/CD secrets)
  • ревизија на IDE директориуми за малициозни датотеки што преживуваат npm install (пример: router_runtime.js или setup.mjs)
  • блокирање на command-and-control инфраструктурата на напаѓачите (api.masscan.cloud, git-tanstack.com и *.getsession.org) на DNS или proxy ниво

Истражувачите од Snyk предупредуваат дека бидејќи „нападот создава валидни SLSA Build Level 3 attestations за малициозни пакети,“ неопходно е покрај проверка на потписите да се воведе и behavioral analysis слој при инсталација на пакетите.

На долг рок, за намалување на ризикот од слични напади, се препорачува користење lockfile-only инсталации, што би спречило автоматски и тивки ажурирања на пакетите.

Извори:

  • Bleeping Computer – Shai Hulud attack ships signed malicious TanStack, Mistral npm packages Bleeping Computer