Ayon sa pagmamasid ng Beating, isang malware na tinatawag na "Mini Shai-Hulud" (isang sandworm mula sa Dune) ay nagpapalaganap sa mga ecosystem ng frontend at AI backend. Noong Mayo 12, 3:20 hanggang 3:26 (UTC+8), kinuha ng grupo na TeamPCP ang official release pipeline ng TanStack at isinampa ang 84 na masamang bersyon sa npm para sa 42 na opisyal na package, kabilang ang `@tanstack/react-router` na may milyon-milyon na download bawat linggo. Pagkatapos, lumaganap ang malware sa PyPI, at kasama sa pinakabagong listahan ng biktima ang Amazon `@opensearch-project/opensearch` (npm, 1.3 milyong download bawat linggo), ang opisyal na client ng Mistral na `mistralai`, at ang AI guardrail tool na `guardrails-ai` (parehong PyPI). Ang mga masamang package ay tila ganap na katulad ng mga opisyal na release. Hindi nagkukuha ang mga attacker ng anumang matagal na credential, kundi ginamit nila ang isang butas sa GitHub Actions configuration upang makakuha ng legal na pansamantalang pahintulot sa pag-release. Dahil dito, ang mga masamang package ay nakakuha ng totoong SLSA build provenance signature—isang anti-counterfeit label na nagpapatotoo na "galing sa opisyal na pipeline". Ang dating paniniwala ng mga developer na "may signature = ligtas" ay lubos na napapalitan. Mas malala pa, ang pag-uninstall ng masamang package ay hindi sapat. Ayon sa reverse engineering ng Socket.dev, ang malware ay nag-i-install ng sarili nito sa background sa execution hook ng Claude Code (`.claude/settings.json`) at sa task configuration ng VS Code (`.vscode/tasks.json`). Kahit na tanggalin ang masamang package, kung buksan muli ng developer ang project directory o i-activate ang AI assistant, babalik agad ang masamang code. Mas mababa pa ang threshold sa Python: kahit hindi pinapagana ang anumang function, sapat na ang `import` sa nasirang package upang magsilbing aktibo nang tahimik ang pagkukunan ng impormasyon. Sa fake domain na ginamit para sa pagpapadala ng payload—`git-tanstack[.]com`—nag-iwan ang TeamPCP ng nakakaloka na mensahe: "Nakakakuha na kami ng credentials nang higit sa dalawang oras, pero nandito lang ako para magbati :^)". Patuloy pa rin ang self-propagation ng malware. Ang lahat ng machine na nag-install ng apektadong package sa panahon ng window ay dapat ituring na nakumpromiso: agad na palitan ang lahat ng credential (AWS, GitHub, npm, SSH), suriin nang buo ang mga folder na `.claude/` at `.vscode/`, at i-install muli mula sa malinis na lockfile.
Ang MiniShai-Hulud Worm ay nag-infect sa TanStack, OpenSearch, at Mistral Clients
MarsBitI-share
Summary
Isang paglabag sa seguridad na kasama ang worm na MiniShai-Hulud ay nakaimpluwensya sa mga kliyente ng TanStack, OpenSearch, at Mistral. Gumamit ang mga attacker ng mga vulnerabilities sa GitHub Actions upang i-push ang 84 na masasamang bersyon ng package mula sa Mayo 12, 3:20 AM hanggang 3:26 AM UTC+8. Gumagamit ang worm ng mga wastong SLSA signature at nananatili sa mga kasangkapan tulad ng VS Code at Claude Code. Inirerekomenda sa mga developer na palitan ang kanilang credentials at i-scan ang mga direktoryo ng proyekto. Ito ay isang crypto news na nagpapakita ng patuloy na mga banta sa open-source ecosystem.
Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito.
Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.