Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
CXO Digitalpulse · 4.5., 00:08 · sikkerhet

«Mini Shai-Hulud» traff 1 800 utviklere: Lightning 2.6.2 og intercom-client 7.0.4 stjal Vault-secrets

SYNOPSIS_GENERERT

Forsyningskjedeangrepet «Mini Shai-Hulud» kompromitterte 29. april SAP-relaterte npm-pakker, Python-biblioteket Lightning og Intercom-integrasjoner, og rammet over 1 800 utviklere. Skadevaren skanner aktivt etter HashiCorp Vault, Kubernetes-config og cloud-credentials før den dumper alt til offentlige GitHub-repoer.

Sikkerhetsforskere oppdaget angrepet 29. april 2026 da kompromitterte SAP-relaterte npm-pakker begynte å distribuere credential-tyver, ifølge CXO Digitalpulse. Kampanjen tilskrives gruppa TeamPCP og spredte seg raskt fra npm til PyPI og PHP-økosystemet. Pakker med flere millioner månedlige nedlastinger ble rammet før noen forsto omfanget.

Det som skiller «Mini Shai-Hulud» fra forrige sommers Shai-Hulud-kampanje, er aktiv jakt på enterprise-secrets. Skadevaren skanner ikke bare miljøvariabler. Den leter spesifikt etter HashiCorp Vault-tokens, Kubernetes-konfigurasjoner og cloud-credentials i utviklerens lokale filsystem. Eksfiltrerte data dumpes til offentlige GitHub-repoer merket «A Mini Shai-Hulud has Appeared», som betyr at hvem som helst kan høste dem videre.

«Trusted open-source components are weaponized to infiltrate developer environments and enterprise systems at scale.» — sikkerhetsforskere sitert av CXO Digitalpulse

Konkret rammede versjoner: Lightning 2.6.2 og 2.6.3 (Python-biblioteket bak PyTorch Lightning), intercom-client 7.0.4 og 7.0.5 (npm), og intercom-php. Hvis du kjørte npm install eller pip install mot disse pakkene mellom 29. april og nå, må du anta at credentials på den maskinen er kompromittert.

>_ NØKKELTALL
1 800: Antall utviklere eksponert ved første telling
2.6.2/2.6.3: Lightning-versjoner med skadevare
7.0.4/7.0.5: intercom-client-versjoner med skadevare

Hva bør du gjøre?

  1. Rull alle tokens nå. API-nøkler, GitHub PATs, Vault-tokens, cloud-credentials. Anta lekkasje hvis maskinen har trukket en av de listede versjonene siden 29. april.
  1. Pin avhengigheter eksplisitt. Bytt fra ^2.6.0 til konkrete, verifiserte versjoner i package.json/pyproject.toml. Floating ranges er angrepsvektoren her.
  2. Skann lokalt for indikatorer. Søk i ~/.npm, ~/.cache/pip og prosjektets node_modules etter pakker med disse versjonsnumrene. Slett og reinstaller fra en kjent god lockfile.
  3. Slå på provenance-sjekk. npm støtter sigstore-attestasjoner, og pip har attestation-flagget i 24.1+. Begge gir deg en sjanse til å fange usignerte oppgraderinger før de havner i CI.

Bakgrunn

Den opprinnelige Shai-Hulud-kampanjen i 2025 var primært fokusert på npm. «Mini»-varianten er ironisk navngitt: bredere, mer automatisert og kryssøkosystem. Spredningen via avhengigheter betyr at en pakke du aldri har installert direkte, kan ha trukket inn en kompromittert versjon transitivt.

Åpne eksternt kildedokument
sikkerhetopen-sourceutvikling

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN