Мини црв Шаи-Хулуд
Претећи актер познат као TeamPCP повезан је са софистицираном кампањом напада на ланац снабдевања усмереном на широко коришћене npm и PyPI пакете повезане са TanStack, UiPath, Mistral AI, OpenSearch, Guardrails AI и неколико других екосистема. Операција, повезана са еволуирајућом кампањом злонамерног софтвера Mini Shai-Hulud, показује значајну ескалацију злоупотребе ланца снабдевања софтвером и техника компромитовања идентитета.
Истраживачи су идентификовали да су злонамерни npm пакети модификовани тако да укључују замаскирану JavaScript компоненту под називом router_init.js. Овај корисни терет профилише заражена окружења и примењује напредни програм за крађу акредитива који циља cloud провајдере, криптовалутне новчанике, алате за развој вештачке интелигенције, платформе за размену порука, CI/CD системе и GitHub Actions окружења. Украдени подаци се првенствено преносе на домен filev2.getsession.org.
Коришћење инфраструктуре Session Protocol-а истиче намерни покушај заобилажења безбедносних контрола предузећа. Пошто домен припада децентрализованој платформи за размену порука усмереној на приватност, мања је вероватноћа да ће га блокирати традиционална мрежна одбрана. Као секундарна метода извлачења података, шифровани подаци се шаљу у спремишта која контролишу нападачи путем GitHub GraphQL API-ја користећи украдене GitHub токене за аутентификацију под ауторским идентитетом claude@users.noreply.github.com.
Преглед садржаја
Механизми перзистентности и проширење крађе акредитива
Злонамерни софтвер уводи неколико могућности заштите и надзора дизајнираних да одрже дугорочни приступ угроженим развојним окружењима. Куке за заштиту од упорности су успостављене унутар Claude Code-а и Microsoft Visual Studio Code-а, што омогућава злонамерном софтверу да преживи поновна покретања система и аутоматски се поново покрене кад год се отворе IDE-ови.
Поред тога, распоређена је услуга gh-token-monitor за континуирано праћење и поновно уклањање GitHub токена. Два злонамерна GitHub Actions радна процеса се такође убризгавају у компромитоване репозиторијуме. Ови радни процеси серијализују тајне репозиторијума у JSON формат и отпремају податке на екстерну крајњу тачку api.masscan.cloud.
Најновији компромитовани напад на TanStack значајно се разликује од ранијих инцидената у ланцу снабдевања. Уместо да се ослањају на преинсталациону закачку, нападачи су уградили злонамерну JavaScript датотеку директно у tarball-ове пакета, док су уводили опциону зависност повезану са пакетом хостованим на GitHub-у. Та зависност садржи закачку за животни циклус припреме која извршава корисни терет кроз Bun runtime окружење.
Тројанизовани пакети Mistral AI усвојили су старију стратегију инфекције модификовањем датотеке package.json помоћу преинсталационе закачке која позива node setup.mjs. Овај процес преузима Bun и покреће исти злонамерни софтвер за крађу акредитива.
CVE-2026-45321 и злоупотреба поузданог објављивања
Компромитовање TanStack-а је званично праћено као CVE-2026-45321 и додељена му је критична CVSS оцена од 9,6. Истраживачи су потврдили да су погођена 42 пакета и 84 верзије унутар TanStack екосистема.
Анализа је открила да је компромитовање настало услед ланчаног напада на GitHub Actions који је искористио окидач pull_request_target, тровање кеша GitHub Actions и екстракцију OIDC токена из GitHub Actions покретача током извршавања. Нападачи су наводно постављали злонамерне корисне податке кроз осироћене коммите у GitHub форковима пре него што су их убризгали у npm tarball-ове пакета. Нападачи су затим отели легитимне токове рада TanStack/router-а како би објавили компромитоване пакете са важећим SLSA потврдама о пореклу.
Овај развој догађаја означава историјску ескалацију напада у ланцу снабдевања софтвером. Злонамерни пакети су носили валидне потписе порекла SLSA нивоа изградње 3, што га чини првим документованим npm црвом способним за дистрибуцију злонамерних пакета са аутентичним потврдама изградње. Кампања злонамерног софтвера се потом проширила изван TanStack-а и на екосистеме које одржавају UiPath, DraftLab и други програмери.
Ова операција значајно злоупотребљава поуздане токове рада објављивања. Уместо директног крађе npm акредитива, код којим управљају нападачи, а који се извршава унутар поузданих CI/CD цевовода, користио је OIDC дозволе за креирање краткотрајних токена за објављивање током процеса изградње. Ово је омогућило објављивање злонамерних пакета кроз легитимне цевоводе за објављивање, заобилазећи конвенционалне мере заштите аутентификације.
Саморазмножавајуће понашање црва подиже узбуну
Један од најопаснијих аспеката кампање Мини Шаи-Хулуд је њен модел ширења сличан црву. Злонамерни софтвер активно тражи објављиве npm токене конфигурисане са bypass_2fa=true, набраја пакете које одржава угрожени програмер и размењује GitHub OIDC токене за токене за објављивање по пакету. Овај механизам омогућава злонамерном софтверу да се латерално шири кроз екосистеме пакета без ослањања на традиционалне технике крађе акредитива.
Напад је такође искористио конфигурације поверења на нивоу репозиторијума унутар GitHub-овог OIDC модела поузданог издавача. Пошто је поверење додељено широко на нивоу репозиторијума уместо да буде ограничено на заштићене гране и одређене датотеке тока посла, злонамерна извршавања тока посла покренута осиротелим commit-овима могла су да захтевају легитимне npm токене за објављивање.
Још једна узнемирујућа могућност укључује постављање „прекидача мртвог човека“. Злонамерни софтвер инсталира шел скрипту која више пута испитује крајњу тачку api.github.com/user сваких 60 секунди како би утврдила да ли су npm токени које је креирао нападач остали активни. Ови токени носе претећи опис IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner (АкоПоништитеОвајТокенОбрисаћеРачунарВласника) (IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner)
Ако браниоци опозову токен путем npm контролне табле, злонамерни софтвер покреће деструктивну рутину извршавајући rm -rf ~/, ефикасно трансформишући инфекцију у злонамерни софтвер за брисање. Ово агресивно понашање указује на значајну еволуцију у оперативним тактикама TeamPCP-а и демонстрира све већу софистицираност метода принудне перзистентности. Безбедносним тимовима се стога саветује да изолују и направе слике заражених система пре него што опозову угрожене npm акредитиве.
Погођени пакети и растући утицај на екосистем
Кампања је утицала на више од 170 пакета, како на npm-у, тако и на PyPI-ју, што је заједно чинило преко 518 милиона преузимања. Истражитељи су такође идентификовали најмање 400 репозиторијума креираних коришћењем украдених акредитива, а сви су садржали фразу „Shai-Hulud: Here We Go Again“.
Погођени пакети укључују:
guardrails-ai@0.10.1 (PyPI)
mistralai@2.4.6 (PyPI)
@opensearch-project/opensearch@3.5.3, 3.6.2, 3.7.0, 3.8.0
@squawk/mcp@0.9.5
@squawk/weather@0.5.10
@squawk/план лета@0.5.6
@tallyui/connector-medusa@1.0.1, 1.0.2, 1.0.3
@tallyui/connector-vendure@1.0.1, 1.0.2, 1.0.3
Злонамерни софтвер такође користи више редундантних канала за извлачење података. Поред инфраструктуре Session Protocol-а и мртвих места на GitHub-у, украдени акредитиви се преносе преко домена git-tanstack.com са погрешним шифровањем.
Злонамерни софтвер PyPI уводи геооградну деструктивну логику
Варијанте злонамерног софтвера засноване на Пајтону, повезане са злонамерним пакетима Mistral AI и Guardrails AI, значајно се разликују од JavaScript корисних података дистрибуираних путем npm-а. Угрожени PyPI пакет mistralai преузима програм за крађу акредитива са удаљеног хоста 83.142.209.194.
Истраживачи су открили да Python малвер садржи логику која је свесна земаља, дизајнирану да избегне извршавање у рускофонским окружењима. Такође укључује геолокациони деструктивни механизам који уводи вероватноћу од један према шест извршавања rm -rf / ако се чини да се заражени систем налази у Израелу или Ирану.
Ово понашање показује забрињавајућу еволуцију ка распоређивању деструктивног корисног оптерећења које је свесно региона унутар екосистема пакета отвореног кода.
Растућа претња напада на ланац снабдевања заснован на идентитету
Кампања Мини Шаи-Хулуд одражава ширу трансформацију у модерним нападима на ланац снабдевања. Уместо да се фокусирају искључиво на компромитовање пакета, актери претњи све више циљају поуздане CI/CD идентитете, токове рада објављивања и аутоматизационе цевоводе засноване на облаку.
Када нападачи добију приступ инфраструктури за објављивање софтвера, сам развојни процес постаје механизам дистрибуције злонамерног софтвера. Пошто се многе злонамерне радње дешавају кроз легитимне токове рада, поуздане атестације и аутентичне системе објављивања, традиционалне безбедносне контроле можда неће успети да идентификују злонамерно понашање.
Кључне карактеристике које дефинишу ову нову генерацију напада на ланац снабдевања укључују:
- Злоупотреба механизама за поуздано објављивање и размену OIDC токена
- Ширење путем легитимних CI/CD токова рада и система за изградњу
- Коришћење важећих SLSA атестација за прикривање злонамерних пакета
- Вишеканално извлачење акредитива и операције перзистенције
- Деструктивни механизми одмазде осмишљени да застраше браниоце
Ширење кампање на алате за вештачку интелигенцију, аутоматизацију предузећа, инфраструктуру претраживања, развој фронтенда, алате везане за авијацију и екосистеме CI/CD показује колико су дубоко међусобно повезани ланци снабдевања софтвером. Праћење понашања током инсталације пакета и извршавања верзије сада је све важније за откривање претњи које на први поглед делују легитимно.
