Хакерская группировка TeamPCP провела крупную атаку на цепочку поставок программного обеспечения, заразив более 170 пакетов в реестрах npm и PyPI. Среди затронутых проектов оказались инструменты, связанные с TanStack, Mistral AI и Guardrails AI. Суммарно эти пакеты набрали более 518 млн загрузок, поэтому инцидент может затронуть большое число разработчиков и компаний.
Кампания получила название Mini Shai-Hulud. Её цель — кража учётных данных облачных сервисов, криптовалютных кошельков, ИИ-инструментов и CI/CD-систем. Для современных разработчиков это особенно опасно, потому что один заражённый пакет может получить доступ не только к локальной машине, но и к ключам, токенам, репозиториям и инфраструктуре сборки.
Атаки на цепочку поставок опасны тем, что вредоносный код попадает в привычные инструменты, которым разработчики уже доверяют. Если заражённый пакет устанавливается как зависимость или используется в автоматической сборке, вредонос может оказаться внутри проекта без прямого взлома самой компании. Именно поэтому такие атаки всё чаще становятся серьёзной угрозой для ИТ-рынка.
Злоумышленники использовали несколько способов скрыть активность и сохранить украденные данные. Похищенная информация передавалась через инфраструктуру децентрализованного мессенджера Session, а также резервировалась через API GitHub. Такая схема усложняет расследование и позволяет атакующим сохранять доступ к данным даже при частичном обнаружении кампании.
Для закрепления на устройстве вредонос создавал скрытые обработчики в Visual Studio Code и Claude Code. Это позволяло программе запускаться снова после перезагрузки компьютера и продолжать работу при открытии этих инструментов. Такой подход особенно опасен для разработчиков, потому что редактор кода и ИИ-помощник часто используются ежедневно.
Одна из главных особенностей Mini Shai-Hulud — самораспространение. В случае с пакетами TanStack злоумышленники использовали GitHub Actions, OIDC-токены и механизмы публикации обновлений, чтобы выпускать заражённые версии от лица легитимных авторов. В результате пакеты могли выглядеть доверенными даже для систем проверки безопасности.
В Python-пакетах вредоносный код запускался автоматически при импорте библиотеки. Это делает атаку особенно неприятной: разработчику не обязательно запускать подозрительный файл напрямую. Достаточно подключить заражённый пакет в проект, и вредоносная логика может начать выполняться в фоне.
Отдельно исследователи отметили географическую избирательность вредоноса. На русскоязычных системах он блокирует свою работу, а для устройств с локализацией Израиля или Ирана предусмотрен деструктивный сценарий. С некоторой вероятностью программа может запустить команду удаления файлов, что превращает инцидент не только в кражу данных, но и в риск потери информации на заражённой машине.
Ещё более опасным выглядит механизм, похожий на «переключатель мертвеца». Вредонос создаёт специальный токен и регулярно проверяет его состояние через GitHub. Если владелец замечает компрометацию и пытается отозвать этот токен без предварительной изоляции системы, скрипт может запустить удаление пользовательской директории. Поэтому специалисты советуют сначала полностью отключать и изолировать заражённые устройства, а уже потом заниматься отзывом доступов.
Главный смысл новости в том, что атаки на цепочки поставок становятся всё сложнее и затрагивают не только отдельные библиотеки, но и инфраструктуру разработки, ИИ-инструменты и автоматические сборки. Mini Shai-Hulud показывает, что даже популярные пакеты с миллионами загрузок могут стать каналом заражения. Для компаний и разработчиков это повод внимательнее проверять зависимости, ограничивать доступ токенов и готовить план действий на случай компрометации.