Apa yang terjadi
Gelombang Hades dari kampanye rantai pasokan Shai-Hulud/Miasma (dikaitkan dengan UNC6780/TeamPCP) meracuni 26+ paket PyPI pada 8 Juni 2026, secara khusus menargetkan alat AI/ML dan bioinformatika. Kampanye ini memperkenalkan penghindaran pemindai LLM (prompt injection dalam payload yang menargetkan alat triase berbasis AI) dan pencegah penghapus kredensial (daemon yang mengancam tindakan destruktif jika kredensial yang dicuri diputar). Worm menargetkan kredensial khusus AI termasuk konfigurasi server MCP, kunci API Anthropic/OpenAI, dan token agen pengkodean AI. Typosquat langchain-core-mcp termasuk di antara paket berbahaya, secara langsung menargetkan pengguna LangChain. Analisis Zscaler ThreatLabz (teks lengkap terverifikasi) mendokumentasikan evolusi kampanye dari V1 (September 2025) melalui gelombang IDE dan PyPI Juni 2026, dengan kode sumber dirilis secara publik di bawah MIT pada 12 Mei 2026 — mengubahnya menjadi infrastruktur serangan yang dapat digunakan kembali.
Mengapa penting
Kampanye ini adalah serangan rantai pasokan ekosistem AI yang paling canggih yang pernah diamati hingga saat ini. Ini secara langsung menargetkan pengembang AI dan alatannya, mengekstrak kunci API AI dan kredensial penyedia model yang mengendalikan akses ke model frontier. Teknik penghindaran pemindai LLM — menanamkan prompt injection dalam payload berbahaya untuk membodohi analis keamanan berbasis AI — adalah eskalasi yang baru dan mengkhawatirkan yang mengikis alat keamanan yang dibantu AI. Daemon wiper membalikkan buku panduan respons insiden. Pelepasan MIT publik dari kode sumber worm berarti pelaku ancaman apa pun sekarang dapat menjalankan kampanye ini.
Vektor serangan
Paket yang dikompromikan mengirimkan file *-setup.pth yang dieksekusi pada setiap startup interpreter Python (sebelum impor apa pun). Hook mengunduh runtime JavaScript Bun dari GitHub dan mengeksekusi payload _index.js yang dikaburkan yang membaca memori proses (melalui /proc/{pid}/mem di Linux, API Mach di macOS, ReadProcessMemory di Windows) untuk memanen kredensial di 14 sistem AI/cloud/DevOps. Data yang dicuri dienkripsi AES-256-GCM + RSA-2048 dan dieksfiltrasi ke repositori GitHub yang dikontrol penyerang. Daemon persistensi 'gh-token-monitor' mengancam tindakan destruktif jika token yang dicuri diputar. Payload menanamkan teks prompt injection untuk menghindari pemindai keamanan berbasis LLM.
Sistem yang terdampak
26+ paket PyPI di seluruh alat bioinformatika, graph-ML, dan deep-learning (termasuk typosquat langchain-core-mcp); lingkungan Python di OS apa pun; pipeline CI/CD
Mitigasi
Audit lingkungan Python untuk file *-setup.pth dari sumber yang tidak dikenal. Periksa paket yang diinstal terhadap daftar IOC (embiggen, ensmallen, gpsea, langchain-core-mcp, rsquests, tlask, rlask, dan lainnya). Isolasi sistem yang terpengaruh sebelum memutar kredensial untuk menghindari pemicu daemon wiper. Pin paket ke hash yang diverifikasi. Pantau nama repositori GitHub stygian-cerberus-* dan tartarean-charon-* (repositori eksil C2).