Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
CXO Digitalpulse · 2.5., 20:33 · sikkerhet

Mini Shai-Hulud rammer 1 800 utviklere: TeamPCP angrep SAP-, intercom- og Lightning-pakker

SYNOPSIS_GENERERT

TeamPCP-gruppa kompromitterte SAP-relaterte npm-pakker, intercom-client 7.0.4/7.0.5 og PyTorch Lightning 2.6.2/2.6.3 fra 29. april 2026, og publiserte stjålne API-nøkler i offentlige GitHub-repos merket «A Mini Shai-Hulud has Appeared». Over 1 800 utviklere er bekreftet rammet på tvers av npm, PyPI og PHP-økosystemer.

CXO Digitalpulse rapporterer at den såkalte «Mini Shai-Hulud»-kampanjen, attributtert til hackergruppa TeamPCP, har infisert utviklerpakker i tre økosystemer parallelt fra 29. april 2026. Skadevaren høster legitimasjon, API-nøkler og private nøkler fra utviklermaskiner, og publiserer dem i offentlige GitHub-repos for at angripere skal kunne aggregere tilgangen i etterkant.

Dette er en utvidelse av Shai-Hulud-angrepet mot PyTorch Lightning som Pulsen omtalte tidligere i dag. Den nye varianten treffer bredere: SAP-relaterte npm-pakker, intercom-client 7.0.4 og 7.0.5 (millioner av nedlastinger månedlig), intercom-php, samt Lightning 2.6.2 og 2.6.3. Felles for alle er at de aktivt skanner etter HashiCorp Vault, Kubernetes-config og skylegitimasjon før de eksfiltrerer.

«Stjålne data publiseres til offentlig tilgjengelige GitHub-repoer merket A Mini Shai-Hulud has Appeared, slik at angripere kan aggregere kompromittert tilgang i skala.» — CXO Digitalpulse, basert på sikkerhetsforskeres analyser

For norske utviklere som bygger med disse stack-ene er risikoen at en enkel npm install eller pip install i en CI-kjøring siste uke kan ha lekket Vercel-tokens, AWS-nøkler eller GitHub-PAT-er. Eksfiltreringen til offentlige repos betyr at lekkasjen kan utnyttes av flere aktører samtidig, ikke bare TeamPCP selv.

Hva bør du gjøre?

  1. Pin alle dependencies til versjoner publisert før 29. april 2026 og kjør npm audit / pip-audit mot prosjektet ditt i dag.
  2. Søk i GitHub etter «A Mini Shai-Hulud has Appeared» og dine egne org-navn for å se om legitimasjon allerede er publisert.
  3. Roter alle PAT-er, deploy-tokens og Vault-credentials hvis du har installert intercom-client, intercom-php, Lightning eller SAP-pakker mellom 29. april og 2. mai.
  4. Sett opp npm config set ignore-scripts true i CI for å hindre postinstall-skript fra å eksfiltrere data ved fremtidige angrep.

Bakgrunn

Opprinnelige Shai-Hulud-angrep ble observert i 2025. «Mini»-varianten skiller seg ved at den automatiserer spredning gjennom dependencies og samtidig treffer tre språk-økosystemer.

Åpne eksternt kildedokument
sikkerhetopen-sourceutvikling

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN