Apa yang terjadi
SecurityWeek melaporkan 9 Juni 2026 bahwa varian Shai-Hulud baru (Miasma, menargetkan npm sejak 1–3 Juni, dan Hades/Mini Shai-Hulud, menargetkan PyPI) telah mengompromikan lebih dari 100 paket di kedua ekosistem. GitHub menonaktifkan 73 repositori Microsoft (Azure, Azure-Samples, MicrosoftDocs, organisasi Microsoft) pada 5 Juni setelah Miasma mengompromikan kembali proyek durabletask Azure. Varian PyPI Hades secara independen mengompromikan 37 file wheel berbahaya di 19 paket. Paket yang dikompromikan yang relevan dengan AI meliputi SDK Python mistralai dan guardrails-ai. Kampanye menggunakan rutinitas self-destruct/wipe yang destruktif yang dipicu oleh pencabutan token npm, secara efektif bertindak sebagai ransomware terhadap pengelola yang mencoba remediasi.
Mengapa penting
Ini adalah serangan langsung pada rantai pasokan pengembang AI: paket SDK AI (mistralai, guardrails-ai) dikompromikan, kredensial alat AI secara khusus ditargetkan, dan mekanisme persistensi novel mengeksploitasi model kepercayaan agen pengodean AI (hook SessionStart Claude Code) untuk bertahan dari remediasi standar. Kredensial yang dicuri mencakup token AWS, GCP, Azure, GitHub, npm, Kubernetes, Vault, dan kunci API layanan AI. Penggunaan worm atas provenance SLSA Build Level 3 yang valid membuatnya sangat sulit dideteksi melalui pemeriksaan attestasi rantai pasokan standar.
Vektor serangan
Worm rantai pasokan yang mereplikasi diri menggunakan hook siklus hidup npm preinstall/postinstall (dan 'Phantom Gyp' binding.gyp dalam gelombang Miasma) untuk menjalankan pencuri kredensial berbasis Bun saat instalasi. Worm menggores /proc/{pid}/mem untuk mengekstrak semua rahasia CI/CD, mengumpulkan 100+ jenis kredensial termasuk token alat AI, kemudian menerbitkan kembali versi beracun dari semua paket yang dikendalikan oleh pengelola yang dikompromikan. Persistensi dicapai dengan menyuntikkan hook SessionStart ke .claude/settings.json dan tugas folderOpen ke .vscode/tasks.json — ini bertahan dari penghapusan paket karena berada di konfigurasi proyek, bukan node_modules.
Sistem yang terdampak
Paket npm dan PyPI — paket yang dikompromikan terkonfirmasi mencakup mistralai (2.4.6), guardrails-ai (0.10.1), @tanstack/* (84 versi berbahaya di 42 paket), @redhat-cloud-services (32 paket, 96 versi), @vapi-ai/server-sdk, dan lainnya; persistensi di hook ~/.claude/settings.json Claude Code dan .vscode/tasks.json di mesin pengembang
Mitigasi
Audit semua dependensi npm/PyPI untuk versi yang dikompromikan; rotasi semua rahasia yang ada di alur kerja CI/CD apa pun yang terpengaruh; audit .claude/ dan .vscode/tasks.json di semua repositori yang dikloning sebelum membuka di agen pengodean AI apa pun; pertimbangkan semua instalasi mistralai 2.4.6 dan guardrails-ai 0.10.1 dikompromikan; periksa deskripsi token npm 'IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner'; tinjau penasihat StepSecurity, Snyk, dan Sonatype untuk daftar IOC lengkap.