Атака на npm Mini Shai‑Hulud: как 600+ вредоносных версий пакетов появились за считанные минуты

Что такое кампания Mini Shai‑Hulud

Mini Shai‑Hulud — это не один инцидент, а серия связанных атак на популярные экосистемы разработчиков.

Исследования показывают, что между 10 и 12 мая 2026 года злоумышленники скомпрометировали более 170 пакетов npm и PyPI в 19 пространствах имён и опубликовали более 400 вредоносных версий.

Под удар попали библиотеки, связанные с крупными проектами и инструментами разработки, включая:

• TanStack
• Mistral AI
• UiPath
• OpenSearch
• Guardrails AI

Эти компоненты широко используются как зависимости в других пакетах и приложениях. В сумме их исторические загрузки превышают 518 миллионов, поэтому даже кратковременная компрометация создаёт серьёзный риск для всей экосистемы разработчиков.

Позднее одна из волн атаки затронула экосистему визуализации данных AntV, чьи npm‑пакеты суммарно имеют около 16 миллионов загрузок в неделю.

Почему вредоносные версии появились так быстро

Главный фактор — злоупотребление доверенными инструментами автоматизации.

Во время атаки 19 мая злоумышленники, по сообщениям исследователей, скомпрометировали аккаунт мейнтейнера npm, связанный с пакетом atool, и использовали его для массовой публикации новых версий зависимых библиотек.

В npm‑экосистеме мейнтейнеры часто публикуют релизы автоматически через скрипты и CI‑пайплайны. Получив доступ к одному аккаунту, атакующие смогли:

• запускать автоматические публикации сразу для десятков или сотен пакетов
• быстро увеличивать версии
• публиковать релизы параллельно

Благодаря автоматизации сотни вредоносных артефактов появились буквально за минуты, вместо медленного ручного взлома каждого пакета.

Как злоумышленники использовали GitHub Actions и OIDC

Технически наиболее интересной частью атаки стало злоупотребление современными механизмами «безопасной публикации».

Многие проекты используют GitHub Actions Trusted Publishing. В этой модели CI‑workflow получает временный токен идентификации через OpenID Connect (OIDC) и публикует пакет без хранения постоянных секретов.

В нескольких скомпрометированных проектах злоумышленники смогли:

• перехватить или изменить workflow GitHub Actions
• извлечь короткоживущие OIDC‑токены из среды выполнения CI
• использовать эти токены для аутентификации публикаций

Поскольку публикацию выполнял реальный пайплайн сборки проекта, пакеты выглядели как официальные релизы, созданные инфраструктурой проекта.

Это разрушает распространённое предположение о безопасности: что отказ от долгоживущих ключей автоматически защищает систему публикации.

Почему вредоносные пакеты выглядели полностью легитимными

Атака пошла ещё дальше — она затронула механизмы проверки целостности цепочки поставок.

Современные пайплайны сборки всё чаще генерируют:

• SLSA provenance‑аттестации (подтверждение происхождения сборки)
• криптографические подписи Sigstore

Такие подписи позволяют разработчикам убедиться, что пакет собран в доверенном CI‑workflow.

Но в случае Mini Shai‑Hulud злоумышленники использовали скомпрометированные CI‑идентичности и OIDC‑токены, чтобы получить легитимные сертификаты подписи. В результате вредоносные пакеты распространялись с валидным подтверждением происхождения SLSA Build Level 3.

С точки зрения автоматической проверки всё выглядело корректно: пакеты были подписаны, привязаны к реальным workflow и опубликованы через доверенные пайплайны.

Проблема заключалась не в системе подписей — скомпрометирован оказался сам доверенный процесс сборки.

Какие данные пыталось украсть вредоносное ПО

Вредоносный код внутри пакетов собирал конфиденциальные данные разработчиков и инфраструктуры.

По сообщениям исследователей, целью были такие секреты, как:

• токены CI/CD и доступы к пайплайнам
• ключи облачных провайдеров
• токены npm и GitHub
• SSH‑ключи разработчиков

Похищая эти данные, вредоносное ПО могло получать доступ к новым репозиториям и системам публикации. Это позволяло атаке распространяться дальше по цепочке поставок.

Именно эта способность красть учётные данные и переходить к новым проектам делает Mini Shai‑Hulud самораспространяющимся supply‑chain‑червём.

Почему эта атака так опасна для экосистемы

Mini Shai‑Hulud продемонстрировала несколько тревожных особенностей современной разработки.

Доверенная инфраструктура может быть обращена против самих разработчиков. Даже продвинутые механизмы безопасности — OIDC‑аутентификация, SLSA‑аттестации и подписанные артефакты — не защищают, если злоумышленники получают контроль над пайплайном сборки.

Один взломанный мейнтейнер может затронуть сотни пакетов. Инцидент в экосистеме AntV показал, что компрометация одного аккаунта способна привести к сотням вредоносных релизов за считанные минуты.

Популярные библиотеки резко увеличивают масштаб ущерба. Многие пакеты используются как зависимости других проектов, поэтому заражённые обновления могут распространяться через транзитивные зависимости на тысячи приложений.

Кампания развивалась постепенно. Исследователи связывают Mini Shai‑Hulud с более широкой деятельностью группы TeamPCP, включая компрометацию Jenkins‑плагина Checkmarx и атаки на разные экосистемы open‑source.

Главный вывод для разработчиков

Атака Mini Shai‑Hulud показала важную проблему современной разработки: криптографическая подпись сама по себе не гарантирует безопасность, если злоумышленники контролируют инфраструктуру, которая создаёт и публикует программное обеспечение.

Поэтому всё больше организаций уделяют внимание защите самой инфраструктуры разработки, включая:

• изоляцию CI‑runner‑ов
• ограничение прав workflow
• мониторинг аномальной активности публикаций
• постоянный аудит зависимостей

По мере того как индустрия переходит на автоматические сборки и подписанные релизы, безопасность CI‑инфраструктуры и учётных записей разработчиков становится столь же критичной, как и безопасность исходного кода.

Кампания Mini Shai‑Hulud показала, насколько быстро может быть разрушено доверие — и как далеко могут распространиться последствия.