19 мая 2026 года злоумышленники скомпрометировали учётную запись мейнтейнера «atool» в реестре npm и в течение примерно 30 минут (с 01:56 до 02:56 UTC) опубликовали 639 вредоносных версий 323 пакетов. Кампания, получившая название Mini Shai-Hulud, нацелена на разработчиков блокчейн-инструментов и сервисов визуализации данных, активно используемых в DeFi и Web3-приложениях.
Среди затронутых пакетов — почти весь стек визуализации @antv (включая antv/g2, antv/g6, antv/x6, antv/l7, antv/s2, antv/f2), а также популярные библиотеки вне этого пространства имён: echarts-for-react (1,1 млн еженедельных загрузок), size-sensor (4,2 млн), @antv/scale (2,2 млн), timeago.js (1,15 млн), canvas-nest.js и другие. Пакеты lint-md, openclaw-cn и starmind также получили заражённые обновления в ту же волну.
Атака представляет собой классический компрометацию цепочки поставок (supply chain attack). Вредоносный код внедрялся в корневой файл index.js и модифицировал package.json, добавляя preinstall-хук для автоматического запуска при установке. Полезная нагрузка использует многослойную обфускацию строк и шифрование: собранные данные сжимаются gzip, затем шифруются AES-256-GCM, а ключ AES заворачивается в RSA-OAEP с SHA-256 перед отправкой на управляющий сервер.
Вредонос охотится за секретами окружения разработчика: токенами GitHub и npm, ключами AWS (включая метаданные EC2 и ECS), токенами Google Cloud и Azure, учётными данными Kubernetes, ключами HashiCorp Vault, Stripe API, строками подключения к базам данных, приватными SSH-ключами, файлами аутентификации Docker, а также локальными хранилищами паролей 1Password и Bitwarden. Кроме того, код содержит логику для сбора секретов из 19 CI/CD-платформ — от GitHub Actions и GitLab CI до CircleCI, Jenkins, Azure DevOps, AWS CodeBuild, Vercel и Netlify.
Эксфильтрация происходит по двум каналам: напрямую на сервер злоумышленников по HTTPS (с шифрованием и внедрением в OpenTelemetry-трейсы) и через запасной путь с использованием GitHub. Если вредоносу удаётся получить рабочий GitHub-токен жертвы, он создаёт в её аккаунте публичный репозиторий с именами в стиле «Дюны» (например, sardaukar-melange-742 или fremen-sandworm-315) и коммитит украденные данные в директорию results/. На момент обнаружения в GitHub индексировалось около 1,8 тыс. таких репозиториев, а по данным StepSecurity — более 2,5 тыс.
Червь также обладает способностью к самовоспроизведению: он проверяет npm-токены через API реестра, перечисляет поддерживаемые пакеты, внедряет хук, поднимает версию и перепубликует заражённый пакет от имени скомпрометированного мейнтейнера. На Linux-хостах дополнительно создаётся systemd-сервис пользователя, способный получать команды с GitHub даже после удаления пакета. Конфигурационные файлы .vscode и .claude модифицируются для повторной активации в средах разработки.
Это уже третья волна кампании Mini Shai-Hulud. Первая атака в январе затронула npm-пакеты Trust Wallet и привела к убыткам в $8,5 млн. Вторая волна 11 мая ударила по Mistral AI, TanStack, UiPath и Guardrails AI. Сейчас Socket зафиксировал 1055 скомпрометированных версий в 502 уникальных пакетах (npm, PyPI, Composer). Исследователи связывают кампанию с группировкой TeamPCP, продвигающей свои инструменты на хакерских форумах.
Генеральный директор SlowMist 23pds рекомендует считать любую среду, где были установлены затронутые версии, полностью скомпрометированной. Необходимо немедленно отозвать все токены доступа, сменить учётные данные для AWS, GitHub, npm и облачных провайдеров, включить многофакторную аутентификацию для публикации пакетов и проверить репозитории на подозрительную активность.
