Mini Shai‑Hulud: саморазмножающаяся атака на цепочку поставок npm

Среди затронутых библиотек были широко используемые пакеты:

• size-sensor
• echarts-for-react
• timeago.js
• десятки пакетов из пространства имён @antv (экосистема визуализации данных AntV от Alibaba)

Некоторые из них имеют миллионы загрузок в неделю. Например, echarts-for-react используется в многочисленных интерфейсах и аналитических панелях, поэтому вредоносные обновления могли распространяться по цепочке зависимостей на тысячи проектов.

Как вредоносный код запускается при установке

Вредоносные версии содержали обфусцированный JavaScript‑payload, который автоматически выполнялся во время установки пакета.

Для этого использовались install‑хуки npm — например preinstall, позволяющий запускать скрипт ещё в процессе установки зависимости. Это означает, что вредоносный код мог выполняться сразу после обычной команды установки пакетов в локальной среде разработчика или в CI‑пайплайне.

Исследователи также обнаружили второй механизм доставки. В некоторых пакетах использовались optionalDependencies, указывающие на конкретные commit‑хэши в GitHub. npm может загружать код напрямую по SHA‑хэшу коммита, что позволило атакующим ссылаться на объекты из форков репозитория с общей историей Git — даже без доступа на запись в оригинальный проект.

Главная цель: кража ключей и токенов

После запуска вредоносный код начинал поиск секретов в системе разработчика. Главная цель — получить учетные данные, которые позволяют атакующим проникать дальше в инфраструктуру.

В числе целевых данных:

• токены публикации npm
• персональные токены GitHub
• ключи AWS, Azure и Google Cloud
• строки подключения к базам данных
• API‑ключи и токены Slack
• SSH‑ключи и Docker‑учетные данные
• токены Kubernetes и HashiCorp Vault

Также вредоносное ПО пыталось извлекать данные из локальных менеджеров паролей, включая 1Password, Bitwarden, pass и gopass.

Для вывода украденной информации использовались два канала:

• сохранение данных внутри Git‑объектов в публичных репозиториях GitHub
• отправка зашифрованных HTTPS‑запросов, замаскированных под телеметрию

Самораспространяющийся «червь»

Исследователи описывают Mini Shai‑Hulud как самораспространяющуюся атаку.

Получив украденные токены и секреты, вредоносный код пытается использовать их для дальнейшего распространения — например:

• получать дополнительные токены публикации
• вмешиваться в CI/CD‑пайплайны
• публиковать новые вредоносные версии пакетов

Таким образом, каждый заражённый разработчик или CI‑сервер может стать новой точкой запуска атак на экосистему open‑source.

Предыдущая волна: атака через TanStack

Ранее в мае 2026 года другая часть той же кампании затронула пакеты TanStack — популярный набор библиотек для фронтенд‑разработки.

Компрометированные версии содержали вредоносный код, предназначенный для кражи секретов CI/CD и учетных данных разработчиков, что позволяло атакующим расширять атаку на другие репозитории и пакеты.

Анализ показал, что вредоносный код был спрятан в обфусцированном JavaScript‑бандле, который сначала анализировал среду выполнения, а затем запускал модуль кражи учетных данных.

Как атака затронула устройства сотрудников OpenAI

Цепочка зависимостей из атаки на TanStack достигла и корпоративных систем.

OpenAI подтвердила, что два устройства сотрудников были затронуты вредоносной зависимостью. На этих устройствах наблюдалась активность, соответствующая поведению описанного вредоносного ПО — попытки доступа к внутренним репозиториям и кражи учетных данных.

По данным компании:

• пользовательские данные не были затронуты
• продакшн‑системы не пострадали
• интеллектуальная собственность не была скомпрометирована

После обнаружения инцидента OpenAI изолировала затронутые системы, отозвала активные сессии, обновила учетные данные и начала ротацию сертификатов подписи кода.

Почему эта атака важна

Mini Shai‑Hulud демонстрирует новый уровень угроз для экосистемы разработки. Злоумышленники атакуют не конечные приложения, а инфраструктуру разработки — пакеты, мейнтейнеров и CI‑системы.

Ключевые особенности этой кампании:

• взлом доверенных аккаунтов вместо публикации новых вредоносных пакетов
• автоматическая публикация сотен заражённых версий за минуты
• фокус на краже учетных данных для дальнейшего распространения

Современное программное обеспечение строится из тысяч зависимостей open‑source. Поэтому даже кратковременная компрометация популярного пакета может затронуть огромное количество проектов по всему миру.

Атака Mini Shai‑Hulud показала: защищать нужно не только приложения, но и всю цепочку инструментов, библиотек и автоматизации, из которой эти приложения создаются.