Mini Shai-Hulud: nowa fala ataków na łańcuch dostaw uderza w npm i PyPI - Security Bez Tabu

Mini Shai-Hulud: nowa fala ataków na łańcuch dostaw uderza w npm i PyPI

Cybersecurity news

Wprowadzenie do problemu / definicja

Mini Shai-Hulud to zaawansowana kampania malware wymierzona w łańcuch dostaw oprogramowania, która wykorzystuje zaufane procesy publikacji pakietów oraz infrastrukturę CI/CD do dystrybucji złośliwego kodu. Najnowsza fala ataków objęła pakiety powiązane z popularnymi projektami i pokazała, że nawet legalny pipeline wydawniczy może zostać użyty jako nośnik kompromitacji.

Skala incydentu sprawia, że jest to jeden z istotniejszych przykładów współczesnych ataków supply chain. Szczególnie niepokojący jest fakt, że napastnicy potrafili wykorzystać mechanizmy zaufanego publikowania i poprawne atestacje pochodzenia artefaktów, co znacząco utrudnia wykrycie złośliwych wersji pakietów.

W skrócie

Kampania Mini Shai-Hulud doprowadziła do publikacji złośliwych pakietów w rejestrach npm i PyPI. Malware był zaprojektowany do kradzieży poświadczeń, tokenów GitHub, sekretów chmurowych, danych z portfeli kryptowalutowych, narzędzi AI oraz komunikatorów, a dodatkowo implementował mechanizmy trwałości w środowiskach deweloperskich.

  • Atak objął zarówno ekosystem npm, jak i PyPI.
  • W przypadku TanStack wskazywano dziesiątki pakietów i wersji objętych kompromitacją.
  • Złośliwy kod potrafił eksfiltrować sekrety z systemów deweloperskich i CI/CD.
  • Napastnicy nadużyli tokenów OIDC oraz legalnych workflow publikacyjnych.
  • Incydent podważa założenie, że sama atestacja provenance gwarantuje bezpieczeństwo.

Kontekst / historia

Ataki na łańcuch dostaw od kilku lat ewoluują od prostego przejmowania kont maintainerów lub pojedynczych tokenów API do kompromitacji całych procesów budowania i publikacji. Mini Shai-Hulud wpisuje się w ten trend, łącząc błędną konfigurację workflow GitHub Actions, zatruwanie cache oraz nadużycie federacyjnego uwierzytelniania.

W opisie incydentu dotyczącym TanStack wskazano, że 11 maja 2026 roku napastnik opublikował złośliwe wersje pakietów przez legalny pipeline wydawniczy projektu. Oznacza to, że nie chodziło wyłącznie o klasyczną kradzież sekretu z urządzenia maintenera, ale o głębsze przejęcie zaufanego procesu publikacji.

Kampania szybko wyszła poza pojedynczy projekt i objęła również pakiety związane z AI, wyszukiwaniem, automatyzacją oraz narzędziami deweloperskimi. Taki rozrzut sugeruje częściowo zautomatyzowany, robakowy charakter operacji oraz zdolność do lateral movement pomiędzy kontami, pakietami i środowiskami.

Analiza techniczna

W zainfekowanych pakietach npm umieszczano zaciemniony kod JavaScript, identyfikowany m.in. jako plik router_init.js. Jego rolą było profilowanie środowiska uruchomieniowego, uruchamianie modułów kradnących poświadczenia oraz zbieranie danych z różnych kategorii systemów, w tym dostawców chmurowych, środowisk CI, narzędzi AI i portfeli kryptowalutowych.

Jednym z kanałów eksfiltracji była infrastruktura oparta o domeny powiązane z komunikacją prywatnościową, co mogło utrudniać detekcję. Dodatkowo malware wykorzystywał GitHub GraphQL API do zapisywania zaszyfrowanych danych w repozytoriach kontrolowanych przez napastnika z użyciem przejętych tokenów.

Złośliwe oprogramowanie implementowało też trwałość. Analizy wskazywały na hooki utrzymujące wykonanie w narzędziach deweloperskich oraz usługi monitorujące nowe tokeny GitHub i ponownie eksfiltrujące je po wykryciu zmian. W części przypadków do repozytoriów ofiar wstrzykiwano również złośliwe workflow GitHub Actions służące do serializacji sekretów i wysyłania ich na zewnętrzne serwery.

Technika kompromitacji TanStack była szczególnie istotna. Łańcuch ataku miał obejmować wzorzec pull_request_target, cache poisoning oraz przejęcie tokenu OIDC z pamięci procesu runnera. Dzięki temu napastnik mógł uruchomić kod w zaufanym kontekście i wykorzystać legalny proces publikacji do wypchnięcia złośliwych artefaktów z poprawną atestacją pochodzenia.

W niektórych pakietach zastosowano dodatkowe zależności opcjonalne lub modyfikacje package.json, które uruchamiały payload podczas przygotowania środowiska. W innych przypadkach malware pobierał dodatkowe komponenty z zewnętrznych serwerów i wykonywał je bez weryfikacji integralności. Analogiczne kompromitacje odnotowano również w ekosystemie PyPI.

Kampania miała cechy robaka. Po uzyskaniu odpowiednich tokenów malware próbował wyszukiwać publikowalne tokeny npm, enumerować pakiety tego samego maintenera oraz pozyskiwać tokeny publikacyjne na podstawie OIDC. Taki model działania zwiększał skalę zagrożenia i pozwalał przemieszczać się pomiędzy pakietami bez konieczności polegania na klasycznych, długowiecznych sekretach.

Dodatkowym elementem był mechanizm przypominający dead-man’s switch. Według analiz cofnięcie określonego tokenu mogło uruchomić destrukcyjną procedurę, włącznie z próbą usunięcia danych z katalogu domowego użytkownika. To oznacza, że kampania łączyła funkcje stealera, narzędzia do utrzymania dostępu i potencjalnego wipera.

Konsekwencje / ryzyko

Ryzyko dla organizacji i deweloperów jest bardzo wysokie. Instalacja złośliwej zależności może prowadzić do przejęcia stacji roboczej, wycieku sekretów CI/CD, tokenów GitHub, kluczy chmurowych, danych organizacyjnych oraz naruszenia integralności repozytoriów.

Najpoważniejszy aspekt incydentu polega na tym, że malware rozprzestrzeniał się przez prawidłowe procesy publikacji. W praktyce oznacza to, że podpis artefaktu, legalny workflow czy nawet zgodna atestacja provenance nie są wystarczającym dowodem bezpieczeństwa, jeśli napastnik uzyska wykonanie kodu wewnątrz zaufanego pipeline’u.

Dla firm rozwijających własne oprogramowanie skutki mogą obejmować skażenie buildów downstream, przejęcie środowisk deweloperskich, utratę integralności procesu wydawniczego, a w skrajnym przypadku także destrukcję danych lokalnych. Dodatkowym problemem jest możliwość utrzymywania złośliwych wersji w cache’ach, mirrorach i zautomatyzowanych pipeline’ach aktualizacji.

Rekomendacje

Organizacje powinny niezwłocznie ustalić, czy w ich środowiskach pojawiły się zainfekowane wersje pakietów powiązanych z kampanią Mini Shai-Hulud. Konieczny jest przegląd lockfile, historii buildów, logów instalacji, cache’ów oraz telemetrii stacji roboczych i runnerów CI.

  • Odizolować hosty i runnery, na których instalowano podejrzane wersje pakietów.
  • Potraktować wszystkie tokeny GitHub, npm, PyPI, sekrety CI/CD i klucze chmurowe jako potencjalnie ujawnione.
  • Przeprowadzić rotację poświadczeń po zabezpieczeniu materiału dowodowego.
  • Przeanalizować workflow GitHub Actions pod kątem nieautoryzowanych uruchomień, zmian w cache i nietypowych publikacji.
  • Zweryfikować, czy w repozytoriach nie pojawiły się nowe workflow, ukryte commity, nietypowe tagi i pomocnicze repozytoria wykorzystywane do eksfiltracji.

W warstwie prewencyjnej warto ograniczyć lub całkowicie wyeliminować użycie pull_request_target tam, gdzie przetwarzany jest kod z forków. Należy też zawęzić zaufanie OIDC do konkretnych branchy, workflow i kontekstów uruchomienia, wdrożyć ochronę cache GitHub Actions oraz separację zaufanych i niezaufanych buildów.

  • Pinować akcje i zależności do zatwierdzonych wersji lub commitów.
  • Monitorować zachowania instalacyjne i build-time, a nie tylko integralność statyczną pakietów.
  • Wykrywać tworzenie nowych tokenów, nietypowe użycie GraphQL API i publikacje z niestandardowych workflow.
  • Rozszerzyć kontrolę bezpieczeństwa na IDE oraz środowiska deweloperskie endpointów.

Jeżeli istnieje podejrzenie obecności wariantu z mechanizmem destrukcyjnym, unieważnianie tokenów powinno być przeprowadzone bardzo ostrożnie i dopiero po odpowiednim zabezpieczeniu hosta oraz przygotowaniu procedur odzyskiwania danych.

Podsumowanie

Mini Shai-Hulud pokazuje nowy etap rozwoju ataków na łańcuch dostaw oprogramowania. Napastnicy nie ograniczają się już do kradzieży sekretów, lecz przejmują zaufane tożsamości, legalne workflow publikacyjne i mechanizmy federacyjnego uwierzytelniania, aby dystrybuować malware pod pozorem autentycznych wydań.

Najważniejszy wniosek jest jednoznaczny: bezpieczeństwo software supply chain nie może opierać się wyłącznie na podpisach i atestacjach pochodzenia artefaktów. Równie ważne są kontrola zachowania pipeline’ów, separacja zaufania, monitoring procesów publikacji oraz aktywna analiza anomalii w środowiskach deweloperskich i CI/CD.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/mini-shai-hulud-worm-compromises.html
  2. TanStack Blog, Postmortem: TanStack npm supply-chain compromise — https://tanstack.com/blog/npm-supply-chain-compromise-postmortem
  3. TanStack Blog, Hardening TanStack After the npm Compromise — https://tanstack.com/blog/incident-followup
  4. SLSA Specification, Build Levels — https://slsa.dev/spec/latest/levels
  5. Hive Security, The Cache That Bites Back: GitHub Actions Cache Poisoning Attacks — https://hivesecurity.gitlab.io/blog/github-actions-cache-poisoning-supply-chain/