Source
CyberSecureFox | ️ Оце так ланцюжок: одна npm-залежність — і у ворога ключі від усього ...
14 Views/Reach
2026-06-30 10:40
Message №1926
⚠️ Оце так ланцюжок: одна npm-залежність — і у ворога ключі від усього вашого CI/CD. Я натрапив на нову хвилю атак Mini Shai-Hulud / Miasma / Hades — виглядає трохи моторошно, бо б’ють саме по розробниках.Скомпрометовано 23 npm-пакети (LeoPlatform, RStreams, деякі hexo/serverless-плагіни) + Go-модуль Verana Blockchain 🧪. Ціль — вкрасти облікові записи девів, GitHub-токени, AWS-ключі й далі розповзатися через npm, GitHub і CI/CD. Прикол у тому, що замість scripts у package.json зло ховається в binding.gyp, який запускає код під час інсталяції, обходячи більшість чекерів.Далі шкідник ставить Bun, запускає стілер і підсуває в репо GitHub Actions-воркфлоу «Run Copilot», який тягне секрети з раннера 🛡️. Злиті дані летять у публічні репи з описом "Alright Lets See If This Works"; маркер "RevokeAndItGoesKaboom" вже світився у компрометації codfish/semantic-release-action — схоже на один і той самий кластер. Якщо у вас LeoPlatform/RStreams/serverless-конфіги, я б дуже не радив ігнорувати: перевірити версії, відкрутити підозрілі, зробити повну ротацію токенів 🔑 і пропіняти всі Actions на хеші. А ви вже фіксуєте GitHub Actions на коміт-хеші чи досі живете на тегах? 🙂🔗 Докладніше:https://cybersecurefox.com/uk/shai-hulud-miasma-ataka-na-lantsiug-postachannya#кібербезпека #devsecops #supplychain #github #nodejs #goCyberSecureFox