Menurut pemantauan Beating, sebuah worm pencuri informasi bernama "Mini Shai-Hulud" (cacing pasir dalam Dune) sedang menyebar luas di ekosistem frontend dan AI backend. Pada 12 Mei pukul 03:20 hingga 03:26 (UTC+8), kelompok penyerang TeamPCP menyandera pipeline rilis resmi TanStack dan mendorong 84 versi jahat dari 42 paket resmi ke npm, termasuk `@tanstack/react-router` yang memiliki jutaan unduhan mingguan. Selanjutnya, worm ini menyebar lintas platform ke PyPI, dengan daftar korban terbaru mencakup `@opensearch-project/opensearch` milik Amazon (npm, 1,3 juta unduhan mingguan), klien resmi Mistral `mistralai`, dan alat pengaman AI `guardrails-ai` (keduanya di PyPI). Paket jahat ini tampak identik dengan rilis resmi. Penyerang tidak mencuri kredensial jangka panjang, melainkan memanfaatkan kerentanan konfigurasi GitHub Actions untuk menyandera pipeline resmi dan mendapatkan izin rilis sementara yang sah. Akibatnya, paket jahat ini memperoleh tanda tangan sumber build SLSA yang asli (provenance—label anti-pemalsuan yang membuktikan "paket benar-benar dihasilkan oleh pipeline resmi"). Logika kepercayaan pengembang selama ini—"ada tanda tangan = aman"—sama sekali tidak berlaku. Lebih parah lagi, menghapus paket jahat saja tidak cukup. Analisis terbalik oleh Socket.dev menunjukkan bahwa setelah diinstal, worm ini secara diam-diam menulis dirinya sendiri ke hook eksekusi Claude Code (`.claude/settings.json`) dan konfigurasi tugas VS Code (`.vscode/tasks.json`). Bahkan jika paket jahat telah dihapus, kode jahat akan otomatis hidup kembali setiap kali pengembang membuka direktori proyek atau membangunkan asisten AI. Ambang batas peluncuran di sisi Python bahkan lebih rendah: pengembang bahkan tidak perlu memanggil fungsi apa pun—cukup dengan `import` paket yang terinfeksi, maka pencurian informasi akan aktif secara diam-diam. TeamPCP langsung memasang pesan ejekan di domain palsu mereka `git-tanstack[.]com`: "Kami sudah mencuri kredensial selama lebih dari dua jam, tapi saya hanya datang untuk menyapa :^)". Worm ini masih terus menyebar sendiri. Mesin yang menginstal paket terdampak selama periode tersebut harus dianggap telah dikompromikan: segera ganti semua kredensial AWS, GitHub, npm, SSH, lakukan pemeriksaan menyeluruh terhadap direktori `.claude/` dan `.vscode/`, serta instal ulang dari lockfile bersih.
Cacing MiniShai-Hulud Menginfeksi Klien TanStack, OpenSearch, dan Mistral
MarsBitBagikan
Ringkasan
Pelanggaran keamanan yang melibatkan worm MiniShai-Hulud memengaruhi klien TanStack, OpenSearch, dan Mistral. Penyerang memanfaatkan kerentanan GitHub Actions untuk mendorong 84 versi paket jahat antara 12 Mei, pukul 03:20 pagi dan 03:26 pagi UTC+8. Worm ini menggunakan tanda tangan SLSA yang valid dan bertahan di alat-alat seperti VS Code dan Claude Code. Para pengembang diminta untuk mengganti kredensial dan memindai direktori proyek. Berita kripto ini menyoroti ancaman berkelanjutan di dalam ekosistem sumber terbuka.
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini.
Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.