Odaily Planet Daily relata, segundo monitoramento da SlowMist, que o MistEye detectou um ataque de cadeia de suprimentos transversal direcionado a desenvolvedores, em que os atacantes lançaram pacotes maliciosos por meio do npm, PyPI e Crates.io. A atividade de ataque envolve mais de 34 pacotes maliciosos e mais de 384 versões relacionadas, com comunidades-alvo incluindo desenvolvedores de criptomoedas, DeFi, Solana, Sui/Move e IA.
As ações potenciais do atacante incluem roubar carteiras criptográficas, chaves SSH, credenciais de nuvem, tokens do GitHub/AWS, dados do navegador, variáveis de ambiente e chaves de desenvolvedor. Alguns payloads também tentam alcançar persistência por meio de cursorrules, CLAUDE.md, ganchos do Git, ganchos do Shell, cron, systemd e SSH.
SlowMist recomenda remover imediatamente os pacotes afetados, isolar os sistemas afetados, manter os logs, rotacionar credenciais expostas, reconstruir os runners CI e máquinas de desenvolvedor a partir de imagens limpas, e revisar as atividades no GitHub, nuvem, SSH e carteiras.