Масштабная атака на цепочки поставок: Mini Shai-Hulud компрометирует популярное ПО

Хакерская группа TeamPCP развернула масштабную кампанию Mini Shai-Hulud, скомпрометировав популярные пакеты в репозиториях npm и PyPI. Среди пострадавших оказались TanStack, Mistral AI, UiPath, OpenSearch и Guardrails AI. В код пакетов был внедрен вредоносный файл «router_init.js» для скрытого профилирования исполняемой среды. Почему это важно: подобные атаки на цепочки поставок ПО позволяют злоумышленникам незаметно внедряться в инфраструктуру множества организаций через доверенные зависимости.