Mini crv Shai-Hulud
Prijetnja poznata kao TeamPCP povezana je sa sofisticiranom kampanjom napada na lanac opskrbe usmjerenom na široko korištene npm i PyPI pakete povezane s TanStackom, UiPathom, Mistral AI, OpenSearchom, Guardrails AI i nekoliko drugih ekosustava. Operacija, povezana s rastućom kampanjom zlonamjernog softvera Mini Shai-Hulud, pokazuje značajnu eskalaciju zlouporabe softverskog lanca opskrbe i tehnika kompromitiranja identiteta.
Istraživači su otkrili da su zlonamjerni npm paketi modificirani kako bi uključili obfusiranu JavaScript komponentu pod nazivom router_init.js. Ovaj korisni teret profilira zaražena okruženja i implementira napredni program za krađu vjerodajnica koji cilja na pružatelje usluga u oblaku, kriptovalutne novčanike, alate za razvoj umjetne inteligencije, platforme za razmjenu poruka, CI/CD sustave i okruženja GitHub Actions. Ukradeni podaci prvenstveno se prenose na domenu filev2.getsession.org.
Korištenje infrastrukture Session Protocol naglašava namjerni pokušaj izbjegavanja sigurnosnih kontrola poduzeća. Budući da domena pripada decentraliziranoj platformi za razmjenu poruka usmjerenoj na privatnost, manje je vjerojatno da će je blokirati tradicionalne mrežne obrane. Kao sekundarna metoda eksfiltracije, šifrirani podaci se predaju u repozitorije kojima upravljaju napadači putem GitHub GraphQL API-ja pomoću ukradenih GitHub tokena za autentifikaciju pod identitetom autora claude@users.noreply.github.com.
Sadržaj
Mehanizmi trajnosti i širenje krađe vjerodajnica
Zlonamjerni softver uvodi nekoliko mogućnosti perzistencije i nadzora osmišljenih za održavanje dugoročnog pristupa kompromitiranim razvojnim okruženjima. Kuke za perzistenciju uspostavljene su unutar Claude Codea i Microsoft Visual Studio Codea, što omogućuje zlonamjernom softveru da preživi ponovna pokretanja sustava i automatski se ponovno pokrene svaki put kada se otvore IDE-ovi.
Osim toga, implementirana je usluga gh-token-monitor za kontinuirano praćenje i ponovno izvlačenje GitHub tokena. Dva zlonamjerna tijeka rada GitHub akcija također se ubrizgavaju u kompromitirane repozitorije. Ovi tijekovi rada serijaliziraju tajne repozitorija u JSON format i prenose podatke na vanjsku krajnju točku api.masscan.cloud.
Najnovije kompromitiranje TanStacka značajno se razlikuje od ranijih incidenata u lancu opskrbe. Umjesto da se oslanjaju na preinstall hook, napadači su ugradili zlonamjernu JavaScript datoteku izravno u tarballove paketa, uvodeći opcionalnu ovisnost povezanu s paketom hostiranim na GitHubu. Ta ovisnost sadrži prepare lifecycle hook koji izvršava korisni teret putem Bun runtime okruženja.
Trojanizirani paketi Mistral AI usvojili su stariju strategiju zaraze modificiranjem datoteke package.json s preinstall hookom koji poziva node setup.mjs. Ovaj proces preuzima Bun i izvršava isti zlonamjerni softver za krađu vjerodajnica.
CVE-2026-45321 i zlouporaba pouzdanog izdavaštva
Kompromitacija TanStacka službeno je praćena kao CVE-2026-45321 i dodijeljena joj je kritična CVSS ocjena od 9,6. Istražitelji su potvrdili da su pogođena 42 paketa i 84 verzije unutar TanStack ekosustava.
Analiza je otkrila da je kompromitacija nastala ulančanim napadom na GitHub Actions koji je iskorištavao okidač pull_request_target, trovanje predmemorije GitHub Actions i izdvajanje OIDC tokena iz GitHub Actions runnera tijekom izvođenja. Napadači su navodno postavljali zlonamjerne podatke putem osirotelih commitova u GitHub forkovima prije nego što su ih ubrizgali u npm tarballove paketa. Napadači su zatim oteli legitimne tijekove rada TanStack/router kako bi objavili kompromitirane pakete s valjanim SLSA potvrdama o porijeklu.
Ovaj razvoj događaja označava povijesnu eskalaciju napada u lancu opskrbe softverom. Zlonamjerni paketi nosili su valjane potpise podrijetla SLSA Build Level 3, što ga čini prvim dokumentiranim npm crvom sposobnim za distribuciju zlonamjernih paketa s autentičnim potvrdama o izgradnji. Kampanja zlonamjernog softvera potom se proširila izvan TanStacka i proširila na ekosustave koje održavaju UiPath, DraftLab i drugi programeri.
Operacija ozbiljno zloupotrebljava pouzdane tijekove rada za objavljivanje. Umjesto izravne krađe npm vjerodajnica, kod kojim upravlja napadač, a koji se izvršava unutar pouzdanih CI/CD cjevovoda, iskoristio je OIDC dozvole za izradu kratkotrajnih tokena za objavljivanje tijekom procesa izgradnje. To je omogućilo objavljivanje zlonamjernih paketa putem legitimnih cjevovoda za izdavanje, zaobilazeći konvencionalne zaštitne mjere za autentifikaciju.
Samorazmnožavajuće ponašanje crva izaziva uzbunu
Jedan od najopasnijih aspekata kampanje Mini Shai-Hulud je njezin model širenja nalik crvu. Zlonamjerni softver aktivno traži npm tokene za objavljivanje konfigurirane s bypass_2fa=true, nabraja pakete koje održava kompromitirani programer i zamjenjuje GitHub OIDC tokene za tokene za objavljivanje po paketu. Ovaj mehanizam omogućuje zlonamjernom softveru lateralno širenje kroz ekosustave paketa bez oslanjanja na tradicionalne tehnike krađe vjerodajnica.
Napad je također iskoristio konfiguracije povjerenja na razini repozitorija unutar GitHubovog OIDC modela pouzdanog izdavača. Budući da je povjerenje dodijeljeno široko na razini repozitorija umjesto da bude ograničeno na zaštićene grane i specifične datoteke tijeka rada, zlonamjerna izvršavanja tijeka rada pokrenuta osiroćenim commitima mogla su zatražiti legitimne npm tokene za objavu.
Još jedna uznemirujuća mogućnost uključuje postavljanje "prekidača mrtvog čovjeka". Zlonamjerni softver instalira shell skriptu koja opetovano ispituje krajnju točku api.github.com/user svakih 60 sekundi kako bi utvrdila jesu li npm tokeni koje je stvorio napadač i dalje aktivni. Ovi tokeni nose prijeteći opis IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner.
Ako branitelji opozovu token putem npm nadzorne ploče, zlonamjerni softver pokreće destruktivnu rutinu izvršavajući rm -rf ~/, učinkovito transformirajući infekciju u zlonamjerni softver za brisanje. Ovo agresivno ponašanje ukazuje na značajnu evoluciju u operativnim taktikama TeamPCP-a i pokazuje sve veću sofisticiranost metoda prisilne perzistencije. Stoga se sigurnosnim timovima savjetuje da izoliraju i naprave slike zaraženih sustava prije opoziva kompromitiranih npm vjerodajnica.
Pogođeni paketi i širenje utjecaja na ekosustav
Kampanja je utjecala na više od 170 paketa, i na npm-u i na PyPI-ju, što zajedno čini preko 518 milijuna preuzimanja. Istražitelji su također identificirali najmanje 400 repozitorija stvorenih pomoću ukradenih vjerodajnica, a svi sadrže frazu 'Shai-Hulud: Evo nas opet'.
Pogođeni paketi uključuju:
guardrails-ai@0.10.1 (PyPI)
mistralai@2.4.6 (PyPI)
@opensearch-project/opensearch@3.5.3, 3.6.2, 3.7.0, 3.8.0
@squawk/mcp@0.9.5
@squawk/vrijeme@0.5.10
@squawk/plan leta@0.5.6
@tallyui/connector-medusa@1.0.1, 1.0.2, 1.0.3
@tallyui/connector-vendure@1.0.1, 1.0.2, 1.0.3
Zlonamjerni softver također koristi više redundantnih kanala za eksfiltraciju. Uz infrastrukturu Session Protocol-a i GitHub dead dropove, ukradeni podaci se prenose putem tipografski neispravne domene git-tanstack.com.
Zlonamjerni softver PyPI uvodi geofenciranu destruktivnu logiku
Varijante zlonamjernog softvera temeljene na Pythonu povezane sa zlonamjernim paketima Mistral AI i Guardrails AI znatno se razlikuju od JavaScript sadržaja distribuiranih putem npm-a. Kompromitirani paket mistralai PyPI preuzima program za krađu vjerodajnica s udaljenog hosta 83.142.209.194.
Istraživači su otkrili da Python zlonamjerni softver sadrži logiku koja je svjesna pojedinih zemalja, a osmišljena je kako bi se izbjeglo izvršavanje u okruženjima s ruskim govornim područjem. Također uključuje geofencirani destruktivni mehanizam koji uvodi vjerojatnost od jedan prema šest izvršavanja rm -rf / ako se čini da se zaraženi sustav nalazi u Izraelu ili Iranu.
Ovo ponašanje pokazuje zabrinjavajući razvoj prema implementaciji destruktivnog korisnog tereta koji je svjestan regije unutar ekosustava paketa otvorenog koda.
Rastuća prijetnja napada na lanac opskrbe temeljenih na identitetu
Kampanja Mini Shai-Hulud odražava širu transformaciju u modernim napadima na lanac opskrbe. Umjesto da se usredotočuju isključivo na kompromitiranje paketa, akteri prijetnji sve više ciljaju pouzdane CI/CD identitete, tijekove rada za objavljivanje i automatizirane cjevovode temeljene na oblaku.
Nakon što napadači dobiju pristup infrastrukturi za objavljivanje softvera, sam razvojni proces postaje mehanizam distribucije zlonamjernog softvera. Budući da se mnoge zlonamjerne radnje događaju putem legitimnih tijekova rada, pouzdanih atestacija i autentičnih sustava izdavanja, tradicionalne sigurnosne kontrole možda neće uspjeti identificirati zlonamjerno ponašanje.
Ključne karakteristike koje definiraju ovu novu generaciju napada na lanac opskrbe uključuju:
- Zlouporaba mehanizama pouzdanog objavljivanja i razmjene OIDC tokena
- Širenje putem legitimnih CI/CD tijekova rada i sustava za izgradnju
- Korištenje valjanih SLSA atestacija za prikrivanje zlonamjernih paketa
- Višekanalna eksfiltracija i operacije perzistencije vjerodajnica
- Destruktivni mehanizmi odmazde osmišljeni za zastrašivanje branitelja
Proširenje kampanje na AI alate, automatizaciju poduzeća, infrastrukturu pretraživanja, razvoj frontenda, alate povezane sa zrakoplovstvom i CI/CD ekosustave pokazuje koliko su duboko međusobno povezani lanci opskrbe softverom. Praćenje ponašanja tijekom instalacije paketa i izvršavanja izgradnje sada je sve važnije za otkrivanje prijetnji koje se na prvi pogled čine legitimnima.
