Нова supply chain кампания компрометира AI, DevOps и open-source пакети в npm и PyPI екосистемите

Нова мащабна software supply chain кампания, свързвана с групата TeamPCP и варианта Mini Shai-Hulud, компрометира десетки пакети в npm и PyPI екосистемите, включително проекти, свързани с:

• TanStack
• Mistral AI
• Guardrails AI
• OpenSearch
• UiPath
• други developer и AI-oriented библиотеки

Според анализи на множество security компании, атаката комбинира:

• malicious package publishing
• abuse на GitHub Actions workflows
• OIDC token manipulation
• credential theft
• persistence inside developer environments
• propagation through CI/CD pipelines

Кампанията е особено значима, защото използва легитимни software delivery механизми и trusted publishing workflows, което затруднява традиционните security проверки.

Какво се случва

Компрометираните пакети съдържат обфускиран JavaScript payload, който:

• profile-ва execution environment
• търси credentials и access tokens
• краде GitHub tokens
• извлича cloud secrets
• събира CI/CD credentials
• таргетира AI tooling и developer environments

Откраднатата информация се изпраща чрез няколко канала, включително:

• Session Protocol infrastructure
• GitHub repositories
• external attacker-controlled domains

Изследователите съобщават, че malware-ът е способен и да:

• инжектира malicious GitHub Actions workflows
• добавя persistence hooks във VS Code и Claude Code
• създава automated credential re-exfiltration services
• компрометира downstream packages

Как е извършена атаката

При TanStack атакуващите използват chained GitHub Actions attack, включващ:

• pull_request_target abuse
• GitHub Actions cache poisoning
• extraction на OIDC tokens от CI runners
• trusted publishing abuse

Вместо директна кражба на npm publish tokens, атакуващите използват OIDC trusted publishing механизма, за да генерират short-lived publish tokens по време на workflow execution.

Това позволява:

• malicious package publishing
• valid provenance signing
• използване на легитимната release pipeline инфраструктура

Изследователите посочват, че това е един от първите документирани случаи, в които malicious packages са публикувани с валидни SLSA provenance attestations.

Разпространение и засегнати екосистеми

Според публикуваните анализи:

• засегнати са над 170 пакета
• компрометирани са npm и PyPI registry среди
• cumulative downloads надхвърлят 500 милиона
• създадени са стотици repositories с откраднати credentials

Кампанията обхваща:

• AI tooling
• frontend ecosystems
• automation frameworks
• CI/CD tooling
• search infrastructure
• developer packages

Нови агресивни техники

Един от най-притеснителните елементи е наличието на destructive “dead-man’s switch”.

Malware-ът създава npm token и периодично проверява дали той е бил revoke-нат. Ако токенът бъде премахнат без предварително containment и isolation, malware-ът може да активира destructive routine.

Изследователите съобщават и за:

• geofenced destructive behavior
• anti-analysis logic
• country-aware execution paths
• Russian locale avoidance

Защо това има значение

Тази кампания показва еволюция от:

• isolated package compromise

към:

• identity-driven CI/CD propagation

Основният риск вече не е само malicious package upload, а компрометиране на:

• software delivery pipelines
• trusted workflows
• developer identities
• automation infrastructure

Това прави detection значително по-труден, защото голяма част от activity-то изглежда легитимно.

DIAMATIX перспектива

Тази атака показва колко критична става защитата на:

• CI/CD environments
• GitHub Actions workflows
• OIDC integrations
• developer endpoints
• software supply chains

При подобни кампании traditional security controls често не са достатъчни, защото:

• payload-ите се изпълняват в trusted workflows
• publishing процесите изглеждат валидни
• malicious activity идва от легитимна инфраструктура
• signed packages могат да изглеждат “trusted”

Visibility върху build behavior, token usage и workflow anomalies става ключова.

CISO анализ

Този случай е ясен сигнал, че modern software supply chain security вече не е само dependency scanning.

Организациите трябва да имат visibility върху:

• workflow execution anomalies
• OIDC token usage
• unusual package publishing behavior
• runtime build activity
• IDE persistence mechanisms
• developer credential access patterns

Особено важни стават:

• branch protections
• workflow scoping
• OIDC ограничения
• behavioral monitoring inside CI/CD

Какво означава това за вашата среда

• Този тип атака разчита на trusted CI/CD workflows и компрометирани developer identities, а не само на malicious package upload
• Откриването зависи от visibility върху build pipelines, token usage и workflow behavior
• Реакцията изисква бързо isolation на developer environments и forensic analysis на CI/CD инфраструктурата

Имате ли visibility върху необичайна GitHub Actions активност?
Можете ли да откриете malicious package execution вътре в trusted build workflows?
Виж как подобни supply chain кампании се анализират и обработват в реална operational среда.

Източници

• Aikido Security
• Endor Labs
• SafeDep
• Socket Security
• StepSecurity
• Snyk
• Wiz Research
• Microsoft Threat Intelligence
• OX Security
• Public advisories from affected projects

Статията е базирана на публично достъпна threat intelligence информация към май 2026 г.