облачные угрозы кибератака безопасность ПО TeamPCP открытый исходный код цепочки поставок GitHub Actions Bun

Крупномасштабная кибератака на цепочки поставок программного обеспечения стремительно распространяется по открытым репозиториям. Вредоносная кампания, получившая название «Mini Shai-Hulud», заразила сотни пакетов в ведущих реестрах, включая TanStack, UiPath и MistralAI.

По данным разработчиков, только пакет React Router из библиотеки TanStack насчитывает более 12 миллионов еженедельных загрузок. Вредоносный код был внедрён в популярные инструменты разработки, что создаёт угрозу для миллионов предприятий, использующих современные приложения.

Компания TanStack уже удалила все заражённые версии из реестра, однако эксперты предупреждают: если вы загружали эти пакеты в понедельник, немедленно смените все связанные учётные данные — включая Amazon Web Services, Google Cloud, GitHub и другие облачные сервисы.

Как атака обходила системы защиты

Вредоносное ПО сумело обойти двухфакторную аутентификацию и использовать криптографически корректные подписи происхождения. Эти подписи подтверждали, что пакеты поступили из правильных конвейеров CI/CD, но не выявили манипуляции с самими конвейерами, которые санкционировали внедрение вредоносного кода.

По мнению исследователей, атака связана с группировкой TeamPCP — киберпреступной организацией, специализирующейся на автоматизированных атаках на цепочки поставок и облачные инфраструктуры, включая Docker и Kubernetes.

Техника проникновения и распространения

Злоумышленники использовали «осиротевший коммит» — код, загруженный в форк репозитория без соответствующей ветки. Это позволило им эксплуатировать избыточные разрешения в рабочих процессах GitHub Actions.

Вредоносное ПО доставлялось через скрытую зависимость, которая загружала зашифрованный 2,3-мегабайтный полезный груз, замаскированный под модуль инициализации. После выполнения код использовал Bun — высокопроизводительный движок для запуска JavaScript — для кражи ключей безопасности и паролей.

Атака нацелена на критически важные облачные инфраструктуры, включая AWS, Google Cloud Platform, Kubernetes и HashiCorp Vault. Кроме того, вредоносное ПО сканирует локальные компьютеры разработчиков в поисках секретных файлов и SSH-ключей, используемых для доступа к корпоративным системам.

По словам исследователей, вредоносный код распространяется как самовоспроизводящийся червь, публикуя свои копии в других проектах и маскируясь под автоматические коммиты от бота Anthropic Claude.

Вторичный шантаж и последствия

В качестве дополнительной меры давления malware генерирует новый токен реестра с текстом угрозы в описании: если жертва попытается отозвать скомпрометированный доступ, система будет уничтожена.

Несмотря на опасность, эксперты отмечают ограниченное распространение атаки. «Мы наблюдали очень слабое распространение в сообществе», — заявил Чарли Эриксен, исследователь безопасности из компании Aikido Security.

Источник: CyberScoop
В iOS 27 камера Apple станет полностью настраиваемой — что изменится?
← Назад

В iOS 27 камера Apple станет полностью настраиваемой — что изменится?

 Легендарный тренер Том Мур возвращается в Айову спустя 64 года
Вперёд →

Легендарный тренер Том Мур возвращается в Айову спустя 64 года