Mini verme Shai-Hulud

Il gruppo di hacker noto come TeamPCP è stato collegato a una sofisticata campagna di attacchi alla catena di fornitura del software, mirata a pacchetti npm e PyPI ampiamente utilizzati e associati a TanStack, UiPath, Mistral AI, OpenSearch, Guardrails AI e a diversi altri ecosistemi. L'operazione, collegata alla campagna malware in continua evoluzione Mini Shai-Hulud, dimostra una significativa escalation nell'abuso della catena di fornitura del software e nelle tecniche di compromissione basate sull'identità.

I ricercatori hanno scoperto che i pacchetti npm dannosi erano stati modificati per includere un componente JavaScript offuscato denominato router_init.js. Questo payload profila gli ambienti infetti e distribuisce un sofisticato strumento di furto di credenziali che prende di mira provider di servizi cloud, portafogli di criptovalute, strumenti di sviluppo di intelligenza artificiale, piattaforme di messaggistica, sistemi CI/CD e ambienti GitHub Actions. I dati esfiltrati vengono trasmessi principalmente al dominio filev2.getsession.org.

L'utilizzo dell'infrastruttura Session Protocol evidenzia un tentativo deliberato di eludere i controlli di sicurezza aziendali. Poiché il dominio appartiene a una piattaforma di messaggistica decentralizzata incentrata sulla privacy, è meno probabile che venga bloccato dalle tradizionali difese di rete. Come metodo di esfiltrazione secondario, i dati crittografati vengono inviati a repository controllati dall'attaccante tramite l'API GraphQL di GitHub utilizzando token di autenticazione GitHub rubati con l'identità dell'autore claude@users.noreply.github.com.

Meccanismi di persistenza ed espansione del furto di credenziali

Il malware introduce diverse funzionalità di persistenza e sorveglianza progettate per mantenere un accesso a lungo termine agli ambienti di sviluppo compromessi. Vengono creati degli hook di persistenza all'interno di Claude Code e Microsoft Visual Studio Code, che consentono al malware di sopravvivere ai riavvii del sistema e di riavviarsi automaticamente ogni volta che gli IDE vengono aperti.

Inoltre, è stato implementato un servizio gh-token-monitor per monitorare e riesfiltrare continuamente i token di GitHub. Sono stati inoltre iniettati nei repository compromessi due workflow dannosi di GitHub Actions. Questi workflow serializzano i segreti del repository in formato JSON e caricano i dati sull'endpoint esterno api.masscan.cloud.

L'ultima violazione di TanStack si differenzia significativamente dai precedenti incidenti della catena di fornitura. Anziché affidarsi a un hook di preinstallazione, gli aggressori hanno incorporato un file JavaScript dannoso direttamente negli archivi tar dei pacchetti, introducendo al contempo una dipendenza opzionale collegata a un pacchetto ospitato su GitHub. Tale dipendenza contiene un hook del ciclo di vita "prepare" che esegue il payload attraverso l'ambiente di runtime Bun.

I pacchetti Mistral AI infettati da trojan hanno adottato una vecchia strategia di infezione modificando il file package.json con un hook di preinstallazione che richiama node setup.mjs. Questo processo scarica Bun ed esegue lo stesso malware per il furto di credenziali.

CVE-2026-45321 e l’abuso di pubblicazioni affidabili

La vulnerabilità di TanStack è stata ufficialmente identificata con il codice CVE-2026-45321 e classificata con un punteggio CVSS critico di 9.6. Gli investigatori hanno confermato che sono stati interessati 42 pacchetti e 84 versioni all'interno dell'ecosistema TanStack.

L'analisi ha rivelato che la compromissione ha avuto origine da un attacco a catena a GitHub Actions, che sfruttava il trigger pull_request_target, l'avvelenamento della cache di GitHub Actions e l'estrazione in fase di esecuzione dei token OIDC dai runner di GitHub Actions. Secondo quanto riportato, gli aggressori avrebbero predisposto payload dannosi tramite commit orfani nei fork di GitHub prima di iniettarli nei file tarball dei pacchetti npm. Gli aggressori avrebbero quindi dirottato flussi di lavoro legittimi di TanStack/router per pubblicare pacchetti compromessi con attestazioni di provenienza SLSA valide.

Questo sviluppo segna una storica escalation negli attacchi alla catena di fornitura del software. I pacchetti dannosi presentavano firme di provenienza SLSA Build Level 3 valide, rendendolo il primo worm npm documentato in grado di distribuire pacchetti dannosi con attestazioni di build autentiche. La campagna malware si è successivamente estesa oltre TanStack, diffondendosi negli ecosistemi gestiti da UiPath, DraftLab e altri sviluppatori.

L'operazione ha sfruttato in modo massiccio i flussi di lavoro di pubblicazione affidabili. Invece di rubare direttamente le credenziali npm, il codice controllato dall'attaccante, eseguito all'interno di pipeline CI/CD affidabili, ha utilizzato le autorizzazioni OIDC per generare token di pubblicazione di breve durata durante il processo di build. Ciò ha permesso la pubblicazione di pacchetti dannosi attraverso pipeline di rilascio legittime, aggirando al contempo le tradizionali misure di sicurezza di autenticazione.

Il comportamento auto-propagante dei vermi desta preoccupazione

Uno degli aspetti più pericolosi della campagna Mini Shai-Hulud è il suo modello di propagazione a worm. Il malware cerca attivamente token npm pubblicabili configurati con bypass_2fa=true, enumera i pacchetti gestiti dallo sviluppatore compromesso e scambia i token OIDC di GitHub con token di pubblicazione specifici per ciascun pacchetto. Questo meccanismo consente al malware di diffondersi lateralmente negli ecosistemi dei pacchetti senza ricorrere alle tradizionali tecniche di furto di credenziali.

L'attacco ha sfruttato anche le configurazioni di fiducia a livello di repository all'interno del modello di publisher fidati OIDC di GitHub. Poiché la fiducia veniva concessa in modo generalizzato a livello di repository anziché essere limitata ai rami protetti e a specifici file di workflow, le esecuzioni di workflow dannose attivate da commit orfani sono state in grado di richiedere token di pubblicazione npm legittimi.

Un'altra inquietante funzionalità riguarda l'implementazione di un "interruttore di sicurezza". Il malware installa uno script shell che interroga ripetutamente l'endpoint api.github.com/user ogni 60 secondi per determinare se i token npm creati dall'attaccante sono ancora attivi. Questi token recano la minacciosa descrizione "Se revochi questo token, cancellerai il computer del proprietario".

Se i difensori revocano il token tramite la dashboard di npm, il malware avvia una routine distruttiva eseguendo `rm -rf ~/`, trasformando di fatto l'infezione in un malware wiper. Questo comportamento aggressivo indica una sostanziale evoluzione nelle tattiche operative di TeamPCP e dimostra una crescente sofisticazione nei metodi di persistenza coercitiva. Si consiglia pertanto ai team di sicurezza di isolare e creare immagini dei sistemi infetti prima di revocare le credenziali npm compromesse.

Confezioni interessate e impatto crescente sull’ecosistema

La campagna ha colpito più di 170 pacchetti tra npm e PyPI, totalizzando oltre 518 milioni di download. Gli investigatori hanno inoltre identificato almeno 400 repository creati utilizzando credenziali rubate, tutti contenenti la frase "Shai-Hulud: Here We Go Again".

I pacchetti interessati includono:

guardrails-ai@0.10.1 (PyPI)
mistralai@2.4.6 (PyPI)
@opensearch-project/opensearch@3.5.3, 3.6.2, 3.7.0, 3.8.0
@squawk/mcp@0.9.5
@squawk/weather@0.5.10
@squawk/flightplan@0.5.6
@tallyui/connector-medusa@1.0.1, 1.0.2, 1.0.3
@tallyui/connector-vendure@1.0.1, 1.0.2, 1.0.3

Il malware utilizza anche molteplici canali di esfiltrazione ridondanti. Oltre all'infrastruttura Session Protocol e ai punti di accesso non autorizzati su GitHub, le credenziali rubate vengono trasmesse tramite il dominio typosquat git-tanstack.com.

Il malware PyPI introduce una logica distruttiva basata sulla geolocalizzazione.

Le varianti di malware basate su Python associate ai pacchetti dannosi Mistral AI e Guardrails AI differiscono sostanzialmente dai payload JavaScript distribuiti tramite npm. Il pacchetto PyPI compromesso mistralai scarica un programma per il furto di credenziali dall'host remoto 83.142.209.194.

I ricercatori hanno scoperto che il malware Python contiene una logica che rileva la posizione geografica, progettata per evitare l'esecuzione in ambienti di lingua russa. Include anche un meccanismo distruttivo geolocalizzato che introduce una probabilità su sei di eseguire il comando rm -rf / se il sistema infetto risulta essere localizzato in Israele o in Iran.

Questo comportamento dimostra una preoccupante evoluzione verso la diffusione di payload distruttivi basati sulla regione all'interno degli ecosistemi di pacchetti open source.

La crescente minaccia degli attacchi alla catena di approvvigionamento basati sull’identità

La campagna Mini Shai-Hulud riflette una trasformazione più ampia negli attacchi alle moderne catene di approvvigionamento. Anziché concentrarsi esclusivamente sulla compromissione dei pacchetti, gli autori delle minacce prendono sempre più di mira le identità CI/CD affidabili, i flussi di lavoro di pubblicazione e le pipeline di automazione basate sul cloud.

Una volta ottenuto l'accesso all'infrastruttura di pubblicazione del software, la pipeline di sviluppo stessa diventa il meccanismo di distribuzione del malware. Poiché molte azioni dannose si verificano attraverso flussi di lavoro legittimi, attestazioni attendibili e sistemi di rilascio autentici, i controlli di sicurezza tradizionali potrebbero non riuscire a identificare i comportamenti dannosi.

Le caratteristiche principali che definiscono questa nuova generazione di attacchi alla catena di approvvigionamento includono:

• Abuso dei meccanismi di pubblicazione affidabile e di scambio di token OIDC
• Propagazione tramite flussi di lavoro CI/CD legittimi e sistemi di build

• Utilizzo di attestazioni SLSA valide per mascherare pacchetti dannosi

• Operazioni di esfiltrazione e persistenza di credenziali multicanale

• Meccanismi di rappresaglia distruttivi progettati per intimidire i difensori

L'espansione della campagna in ambiti quali strumenti di intelligenza artificiale, automazione aziendale, infrastrutture di ricerca, sviluppo frontend, strumenti per il settore aeronautico ed ecosistemi CI/CD dimostra quanto siano diventate interconnesse le catene di fornitura del software. Il monitoraggio comportamentale durante l'installazione dei pacchetti e l'esecuzione delle build è ora sempre più cruciale per rilevare minacce che a prima vista sembrano legittime.