TeamPCP опубликовала исходный код червя Shai‑Hulud

В отличие от многих компрометаций зависимостей, вредонос действовал как самораспространяющийся червь. После установки заражённого пакета он мог использовать украденные учетные данные и автоматизацию CI/CD для заражения новых пакетов.

Позднее стало известно, что TeamPCP выложила полный исходный код червя в двух GitHub‑репозиториях, разрешив свободное использование и модификацию. Репозитории быстро получили десятки форков — показатель того, насколько быстро offensive‑инструменты распространяются в открытой среде.

Почему лицензия MIT делает публикацию особенно значимой

Вредоносное ПО иногда публикуется в сети, но размещение под открытой лицензией MIT — редкий и стратегически важный шаг.

Для специалистов по безопасности это даёт важные преимущества:

• возможность анализировать реальный код атаки
• создание точных правил обнаружения (YARA, Sigma, EDR)
• моделирование поведения червя в песочницах
• проверку эффективности защиты CI/CD‑инфраструктуры

Но та же открытость облегчает работу злоумышленникам.

Лицензия MIT позволяет свободно копировать, изменять и распространять код, поэтому атакующие могут быстро адаптировать червя под новые платформы, языки и экосистемы пакетов.

Главная проблема: Shai‑Hulud показывает повторяемую модель атаки на доверенные рабочие процессы разработчиков, а не единичную уязвимость.

Ключевые возможности червя Shai‑Hulud

Анализ кампании показывает, что вредонос объединяет несколько современных техник атак на цепочку поставок.

Кража OIDC‑токенов из CI/CD

Одной из ключевых возможностей червя является извлечение OpenID Connect (OIDC) токенов из CI/CD‑пайплайнов, особенно из GitHub Actions, которые используются для публикации пакетов.

Вместо кражи статических ключей злоумышленники перехватывали токены во время выполнения пайплайна и получали возможность публиковать пакеты через доверенные автоматизированные процессы.

Публикация вредоносных пакетов с «валидным» происхождением

Особенно тревожный момент — подрыв доверия к механизму provenance.

Некоторые заражённые пакеты распространялись с валидными аттестациями SLSA Build Level 3, которые обычно служат признаком доверенной сборки.

Из‑за компрометации самого пайплайна сборки вредоносные пакеты выглядели легитимными для автоматических систем проверки.

Массовый сбор учетных данных разработчиков

После установки вредонос запускал модуль кражи секретов, который собирал данные из систем разработчиков и CI‑окружений.

Среди целей были:

• ключи AWS и других облачных сервисов
• приватные SSH‑ключи
• токены публикации npm и PyPI
• GitHub Personal Access Tokens
• секреты Kubernetes и HashiCorp Vault

По сообщениям исследователей, вредонос проверял более 100 распространённых путей хранения учетных данных.

Самораспространение через экосистему пакетов

Используя украденные токены и доступ к пайплайнам публикации, червь мог автоматически заражать новые пакеты, создавая каскадное распространение внутри экосистем разработчиков.

Разрушительный «dead‑man’s switch»

Некоторые анализы также указывают на наличие деструктивного механизма или «dead‑man’s switch», который потенциально может уничтожать данные при определённых условиях.

Поэтому эксперты рекомендуют рассматривать заражённые системы как полностью скомпрометированные.

Связь с предыдущими атаками TeamPCP

Майская кампания была не первой операцией группы.

Исследование Cloud Security Alliance описывает более раннюю атаку 29–30 апреля 2026 года, затронувшую npm, PyPI и Packagist. Тогда злоумышленники получили доступ примерно к 1800 репозиториям через утечки учетных данных и ошибки конфигурации CI/CD.

Однако майская волна показала значительную эволюцию техники:

• ранние атаки опирались на украденные токены реестров
• новая кампания захватывала доверенные пайплайны публикации
• вредонос получил способность самораспространения между экосистемами

Это демонстрирует, насколько быстро атакующие адаптируются к новым механизмам защиты цепочки поставок.

Непосредственные риски для разработчиков и компаний

Организации, которые установили заражённые пакеты в период атаки, могут столкнуться с серьёзными последствиями.

Эксперты предупреждают, что любая среда разработки, установившая один из скомпрометированных пакетов, должна считаться потенциально заражённой.

Причина в том, что вредонос не только внедряется в зависимости, но и крадет учетные данные, позволяя злоумышленникам продолжать атаки даже после удаления пакета.

Инцидент также показал важный вывод для отрасли: подписанное происхождение сборки не гарантирует безопасность, если сама система сборки была скомпрометирована.

Что должны сделать команды безопасности

Если есть вероятность, что организация затронута атакой, специалисты рекомендуют срочно выполнить следующие шаги:

• определить все зависимости npm и PyPI, установленные или собранные после 11 мая 2026 года
• пересобрать проекты в чистых средах с проверенными lock‑файлами
• провести полную ротацию учетных данных разработчиков, CI/CD и облачных сервисов
• проверить GitHub Actions и другие пайплайны на несанкционированные публикации или изменения
• ограничить публикацию пакетов только защищёнными CI‑раннерами с минимальными правами OIDC

Также важно отслеживать появление новых вариантов вредоноса — публичная публикация исходного кода почти неизбежно приводит к появлению модифицированных версий и copycat‑атак.

Поворотный момент для безопасности цепочки поставок

Инцидент Shai‑Hulud показывает, что современные атаки всё чаще нацелены не на отдельные уязвимости библиотек, а на сами рабочие процессы разработки.

Опубликовав исходный код червя, TeamPCP фактически превратила реальную атаку в подробный шаблон. Теперь этот шаблон изучают как защитники, так и злоумышленники — и гонка между ними уже началась.