170 pakker på tvers av npm og PyPI er infisert av Mini Shai-Hulud, fjerde generasjon av en selvspredende orm som sikkerhetsselskapet Tenable sporer til gruppen TeamPCP. Pakkene har til sammen over 518 millioner ukentlige nedlastinger, og minst fire organisasjoner har bekreftet innbrudd: OpenAI, Mistral AI, GitHub (rundt 3 800 interne repoer) og EU-kommisjonen.
Det tekniske gjennombruddet er at angrepet forfalsket SLSA Build Level 3-provenance. I TanStack-bølgen (CVE-2026-45321, CVSS 9.6) kapret angriperne selve byggepipelinen via en pull_request_target-workflow, hentet en kortlevd OIDC-token rett fra prosessminnet til GitHub Actions-runneren og publiserte 84 pakkeversjoner på under seks minutter, alle med gyldig kryptografisk attestasjon fra Sigstore. Provenance bekrefter at pipelinen er ekte, ikke at koden i den er trygg.
For deg som bygger med KI er detaljen som stikker ut at ormen planter persistens i utviklerverktøy: en gh-token-monitor-daemon som poller GitHub hvert 60. sekund og kjører rekursiv filsletting hvis token blir trukket tilbake, pluss injiserte oppgaver i .vscode/tasks.json og hooks i ~/.claude/settings.json. Fjern disse FØR du roterer nøkler, ellers trigger du sletteren.
«Shai-Hulud: Open Sourcing The Carnage» — TeamPCP, ved publisering av ormens kildekode 12. mai 2026
TeamPCP la ut kildekoden under MIT-lisens med oppfordring om å lage egne varianter, og lovet 1 000 dollar til det største forsyningskjede-angrepet bygd på koden. OX Security har allerede observert fire kopipakker fra andre aktører, blant annet typosquatten chalk-tempalte.
Hva bør du gjøre?
- Skann lockfiles og CI-logger for rammede versjoner i navnerommene @tanstack, @uipath, @mistralai, @opensearch-project, @antv og @squawk.
- Sjekk for persistens før rotering ved å fjerne
gh-token-monitor-daemonen, oppgaver i.vscode/tasks.jsonog Claude Code-hooks i~/.claude/settings.json. - Sett
--ignore-scriptssom standard for npm-installer, og pinn avhengigheter til eksakte versjoner med lockfile-verifisering i CI.