Червь Mini Shai-Hulud: когда npm и PyPI становятся песчаными червями

Помните историю с TanStack, когда кто-то засветил компрометацию npm? Оказалось, это был лишь первый «червячок» в целой песчаной буре. Исследователи выявили кампанию Mini Shai-Hulud — настоящего червя, который ползает не только по npm, но и по PyPI, GitHub Actions, IDE-хукам и CI/CD-секретам.

Название, конечно, отсылает к Дюне, но ничего хорошего в этом черве нет. Он работает как типичный supply-chain worm: заражает пакеты, крадет секреты, мутирует. В общем, делает всё, чтобы DevOps-инженеры просыпались в холодном поту.

Что он умеет?

• Распространяется через npm и PyPI пакеты (да, «два фронта»).
• Внедряется в GitHub Actions workflows и крадет CI/CD секреты.
• Использует IDE-хуки (например, VS Code tasks) для персистентности.
• Может сам себя обновлять и расширять — настоящий червь-эволюционер.

Кампания затронула множество проектов, и TanStack был лишь одним из симптомов. Если ваш CI/CD пайплайн не изолирован, а секреты хранятся как попало — этот червь может заглянуть и к вам.

Комментарий студии METABYTE: Supply-chain атаки — это как плохой рефакторинг: сначала кажется, что ничего страшного, а потом весь проект сыпется. Мы всегда рекомендуем использовать минимальные права для CI/CD и регулярно аудировать зависимости. А ещё — не называть червей в честь книг, иначе они начинают мнить себя великими.