Mini Shai-Hulud tārps

Draudu izpildītājs, kas pazīstams kā TeamPCP, ir saistīts ar sarežģītu piegādes ķēdes uzbrukuma kampaņu, kuras mērķis ir plaši izmantotas npm un PyPI pakotnes, kas saistītas ar TanStack, UiPath, Mistral AI, OpenSearch, Guardrails AI un vairākām citām ekosistēmām. Operācija, kas saistīta ar attīstīto Mini Shai-Hulud ļaunprogrammatūras kampaņu, demonstrē ievērojamu programmatūras piegādes ķēdes ļaunprātīgas izmantošanas un identitātes vadītu kompromitēšanas metožu eskalāciju.

Pētnieki atklāja, ka ļaunprātīgas npm pakotnes tika modificētas, lai iekļautu apmulsinātu JavaScript komponentu ar nosaukumu router_init.js. Šī vērtuma slodze profilē inficētas vides un izvieto uzlabotu akreditācijas datu zagli, kas ir vērsts pret mākoņpakalpojumu sniedzējiem, kriptovalūtas makiem, mākslīgā intelekta izstrādes rīkiem, ziņojumapmaiņas platformām, CI/CD sistēmām un GitHub Actions vidēm. Izfiltrētie dati galvenokārt tiek pārsūtīti uz domēnu filev2.getsession.org.

Sesijas protokola infrastruktūras izmantošana liecina par apzinātu mēģinājumu apiet uzņēmuma drošības kontroles. Tā kā domēns pieder decentralizētai, uz privātumu vērstai ziņojumapmaiņas platformai, ir mazāka iespēja, ka to bloķēs tradicionālās tīkla aizsardzības. Kā sekundāra eksfiltrācijas metode šifrēti dati tiek nosūtīti uzbrucēju kontrolētām krātuvēm, izmantojot GitHub GraphQL API, izmantojot nozagtas GitHub autentifikācijas pilnvaras ar autora identitāti claude@users.noreply.github.com.

Noturības mehānismi un akreditācijas datu zādzības paplašināšana

Ļaunprogrammatūra ievieš vairākas saglabāšanas un uzraudzības iespējas, kas paredzētas, lai ilgtermiņā uzturētu piekļuvi apdraudētām izstrādes vidēm. Pastāvības āķi ir izveidoti Claude Code un Microsoft Visual Studio Code ietvaros, ļaujot ļaunprogrammatūrai pārdzīvot sistēmas atkārtotu palaišanu un automātiski restartēties ikreiz, kad tiek atvērtas IDE.

Turklāt tiek izvietots gh-token-monitor pakalpojums, lai nepārtraukti uzraudzītu un atkārtoti izvadītu GitHub tokenus. Divas ļaunprātīgas GitHub darbību darbplūsmas tiek ievadītas arī kompromitētās krātuvēs. Šīs darbplūsmas serializē krātuves noslēpumus JSON formātā un augšupielādē datus ārējā galapunktā api.masscan.cloud.

Jaunākais TanStack kompromitējums būtiski atšķiras no iepriekšējiem piegādes ķēdes incidentiem. Tā vietā, lai paļautos uz iepriekšinstalēšanas āķi, uzbrucēji iegula ļaunprātīgu JavaScript failu tieši pakotņu tarballos, vienlaikus ieviešot papildu atkarību, kas saistīta ar GitHub mitinātu pakotni. Šī atkarība satur sagatavošanas dzīves cikla āķi, kas izpilda vērtumu, izmantojot Bun izpildlaika vidi.

Trojas zirga inficētās Mistral AI pakotnes izmantoja vecāku inficēšanas stratēģiju, modificējot failu package.json ar iepriekšinstalēšanas āķi, kas izsauc node setup.mjs. Šis process lejupielādē Bun un izpilda to pašu akreditācijas datus zādzošo ļaunprogrammatūru.

CVE-2026-45321 un uzticamas publicēšanas ļaunprātīga izmantošana

TanStack kompromitēšana ir oficiāli izsekota kā CVE-2026-45321 un tai piešķirts kritisks CVSS vērtējums 9,6. Izmeklētāji apstiprināja, ka TanStack ekosistēmā ir skartas 42 pakotnes un 84 versijas.

Analīze atklāja, ka kompromitēšana radusies no ķēdē savienota GitHub Actions uzbrukuma, kas izmanto pull_request_target aktivizētāju, GitHub Actions kešatmiņas saindēšanu un OIDC tokenu izpildlaika ieguvi no GitHub Actions izpildes komponentiem. Tiek ziņots, ka uzbrucēji ievietoja ļaunprātīgas slodzes, izmantojot bāreņu izmaiņu pieprasījumus GitHub atzaros, pirms tos ievietoja npm pakotņu tarballs. Pēc tam uzbrucēji nolaupīja likumīgas TanStack/maršrutētāja darbplūsmas, lai publicētu kompromitētas pakotnes ar derīgām SLSA izcelsmes apliecinājumiem.

Šī attīstība iezīmē vēsturisku eskalāciju programmatūras piegādes ķēdes uzbrukumos. Ļaunprātīgajām pakotnēm bija derīgi SLSA 3. līmeņa izcelsmes paraksti, padarot šo par pirmo dokumentēto npm tārpu, kas spēj izplatīt ļaunprātīgas pakotnes ar autentiskiem būvējuma apliecinājumiem. Ļaunprogrammatūras kampaņa vēlāk paplašinājās ārpus TanStack un izplatījās UiPath, DraftLab un citu izstrādātāju uzturētās ekosistēmās.

Šī operācija ievērojami ļaunprātīgi izmanto uzticamas publicēšanas darbplūsmas. Tā vietā, lai tieši zagtu npm akreditācijas datus, uzbrucēju kontrolēts kods, kas darbojas uzticamos CI/CD cauruļvados, izmantoja OIDC atļaujas, lai būvēšanas procesa laikā izveidotu īslaicīgas publicēšanas pilnvaras. Tas ļāva publicēt ļaunprātīgas pakotnes, izmantojot likumīgas izlaišanas caurules, vienlaikus apejot tradicionālās autentifikācijas aizsardzības.

Pašizplatīšanās tārpu uzvedība rada trauksmi

Viens no bīstamākajiem Mini Shai-Hulud kampaņas aspektiem ir tās tārpam līdzīgais izplatīšanās modelis. Ļaunprogrammatūra aktīvi meklē publicējamus npm tokenus, kas konfigurēti ar bypass_2fa=true, uzskaita kompromitētā izstrādātāja uzturētos pakotnes un apmaina GitHub OIDC tokenus pret pakotņu publicēšanas tokeniem. Šis mehānisms ļauj ļaunprogrammatūrai izplatīties laterāli pa pakotņu ekosistēmām, neizmantojot tradicionālās akreditācijas datu zādzības metodes.

Uzbrukumā tika izmantotas arī repozitorija līmeņa uzticamības konfigurācijas GitHub OIDC uzticamā izdevēja modelī. Tā kā uzticība tika piešķirta plaši repozitorija līmenī, nevis tikai aizsargātām filiālēm un konkrētiem darbplūsmas failiem, ļaunprātīgas darbplūsmas izpildes, ko izraisīja bāreņu izmaiņu izmaiņas, varēja pieprasīt likumīgus npm publicēšanas tokenus.

Vēl viena satraucoša iespēja ir saistīta ar tā sauktā “mirušā cilvēka slēdža” izvietošanu. Ļaunprogrammatūra instalē čaulas skriptu, kas ik pēc 60 sekundēm atkārtoti aptaujā api.github.com/user galapunktu, lai noteiktu, vai uzbrucēja izveidotie npm tokeni joprojām ir aktīvi. Šiem tokeniem ir draudīgs apraksts IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner.

Ja aizstāvji atsauc marķieri, izmantojot npm informācijas paneli, ļaunprogrammatūra palaiž destruktīvu rutīnu, izpildot rm -rf ~/, efektīvi pārveidojot infekciju par tīrīšanas ļaunprogrammatūru. Šī agresīvā uzvedība liecina par būtisku TeamPCP operacionālās taktikas attīstību un demonstrē arvien sarežģītākas piespiedu noturības metodes. Tāpēc drošības komandām ieteicams izolēt un izveidot inficēto sistēmu attēlu, pirms tiek atsaukti kompromitēti npm akreditācijas dati.

Ietekmētie iepakojumi un pieaugošā ietekme uz ekosistēmu

Kampaņa ir ietekmējusi vairāk nekā 170 pakotnes gan npm, gan PyPI platformās, kopā nodrošinot vairāk nekā 518 miljonus lejupielāžu. Izmeklētāji arī identificēja vismaz 400 repozitorijus, kas izveidoti, izmantojot zagtus piekļuves datus, un visos no tiem bija frāze “Shai-Hulud: Here We Go Again”.

Ietekmētie iepakojumi ietver:

aizsargbarjeras-ai@0.10.1 (PyPI)
mistralai@2.4.6 (PyPI)
@opensearch-project/opensearch@3.5.3, 3.6.2, 3.7.0, 3.8.0
@squawk/mcp@0.9.5
@squawk/weather@0.5.10
@squawk/flightplan@0.5.6
@tallyui/connector-medusa@1.0.1, 1.0.2, 1.0.3
@tallyui/connector-vendure@1.0.1, 1.0.2, 1.0.3

Ļaunprogrammatūra izmanto arī vairākus dublētus eksfiltrācijas kanālus. Papildus sesijas protokola infrastruktūrai un GitHub nederīgajiem ierakstiem nozagtie akreditācijas dati tiek pārsūtīti, izmantojot typosquatted domēnu git-tanstack.com.

PyPI ļaunprogrammatūra ievieš ģeofenced destruktīvo loģiku

Ar ļaunprātīgajām Mistral AI un Guardrails AI pakotnēm saistītie Python bāzes ļaunprogrammatūras varianti būtiski atšķiras no JavaScript vērtuma, kas tiek izplatīts, izmantojot npm. Apdraudētā mistralai PyPI pakotne no attālā resursdatora 83.142.209.194 lejupielādē akreditācijas datu zagli.

Pētnieki atklāja, ka Python ļaunprogrammatūra satur valsti apzinošu loģiku, kas paredzēta, lai izvairītos no izpildes krievu valodas vidē. Tā ietver arī ģeogrāfiski ierobežotu destruktīvu mehānismu, kas ievieš vienu no sešiem varbūtību izpildīt rm -rf /, ja inficētā sistēma, šķiet, atrodas Izraēlā vai Irānā.

Šī uzvedība liecina par satraucošu attīstību virzienā uz reģionāli apzinātu destruktīvu lietderīgās slodzes izvietošanu atvērtā pirmkoda pakotņu ekosistēmās.

Pieaugošie identitātes vadīto piegādes ķēžu uzbrukumu draudi

Mini Shai-Hulud kampaņa atspoguļo plašākas pārmaiņas mūsdienu piegādes ķēdes uzbrukumos. Tā vietā, lai koncentrētos tikai uz pakotņu kompromitēšanu, apdraudējumu izpildītāji arvien vairāk mērķē uz uzticamām CI/CD identitātēm, publicēšanas darbplūsmām un mākonī balstītām automatizācijas sistēmām.

Tiklīdz uzbrucēji iegūst piekļuvi programmatūras publicēšanas infrastruktūrai, pats izstrādes process kļūst par ļaunprogrammatūras izplatīšanas mehānismu. Tā kā daudzas ļaunprātīgas darbības notiek, izmantojot likumīgas darbplūsmas, uzticamas apliecināšanas un autentiskas izlaišanas sistēmas, tradicionālās drošības kontroles var nespēt identificēt ļaunprātīgu rīcību.

Šīs jaunās piegādes ķēdes uzbrukumu paaudzes galvenās iezīmes ir šādas:

• Uzticamu publicēšanas un OIDC žetonu apmaiņas mehānismu ļaunprātīga izmantošana
• Izplatīšana, izmantojot likumīgas CI/CD darbplūsmas un būvēšanas sistēmas

• Derīgu SLSA apliecinājumu izmantošana ļaunprātīgu pakotņu maskēšanai

• Daudzkanālu akreditācijas datu eksfiltrācija un noturības operācijas

• Destruktīvi atriebības mehānismi, kas paredzēti aizstāvju iebiedēšanai

Kampaņas paplašināšanās, aptverot mākslīgā intelekta rīkus, uzņēmumu automatizāciju, meklēšanas infrastruktūru, front-end izstrādi, ar aviāciju saistītus rīkus un CI/CD ekosistēmas, parāda, cik dziļi savstarpēji saistītas ir kļuvušas programmatūras piegādes ķēdes. Uzvedības uzraudzība pakotņu instalēšanas un būvēšanas izpildes laikā tagad ir arvien svarīgāka, lai atklātu draudus, kas no pirmā acu uzmetiena šķiet pamatoti.