Исследователи снова фиксируют развитие supply chain-кампании, связанной с семейством Mini Shai-Hulud, Miasma и Hades. The Hacker News со ссылкой на Socket пишет, что новая активность затронула npm-пакеты LeoPlatform и RStreams, злоупотребление GitHub Actions и Go-модуль проекта Verana Blockchain. Цель осталась прежней: украсть учётные данные разработчиков и мейнтейнеров, а затем использовать их для дальнейшего распространения по реестрам пакетов, репозиториям и доверенным workflow.
В списке затронутых релизов — 23 npm-пакета, включая leo-auth, leo-aws, leo-cli, leo-sdk, leo-streams, rstreams-metrics, serverless-leo и другие, а также Go-модуль github.com/verana-labs/verana-blockchain@v0.10.1-dev.20. По версии исследователей, аккаунт npm-разработчика, связанный с LeoPlatform, вероятно был скомпрометирован через утёкшие credentials. Это позволило атакующим использовать токен мейнтейнера и за считанные секунды опубликовать троянизированные версии.
Технически кампания неприятна тем, что использует не один очевидный lifecycle hook, а набор уже знакомых, но эффективных приёмов: от poisoning npm registry и выполнения через binding.gyp во время установки до JavaScript-загрузчиков, GitHub dead-drop infrastructure, кражи секретов GitHub Actions, закрепления в IDE и AI coding assistants и шифрованной эксфильтрации credentials.
Главный риск для компаний — не только заражение отдельной машины разработчика. Современный CI/CD строится на токенах: npm publish tokens, GitHub PAT, cloud credentials, secrets для контейнерных реестров и деплоя. Если вредоносный пакет получает доступ к такому окружению, злоумышленник может быстро перейти от рабочей станции к pipeline, от pipeline — к релизам, а от релизов — к клиентам downstream-продукта.
Инцидент показывает, почему защита open source supply chain уже не сводится к просмотру package.json. Командам стоит проверять неожиданные релизы зависимостей, ограничивать права токенов публикации, включать provenance и двухфакторную защиту для мейнтейнеров, а в CI отделять секреты от задач, которые устанавливают непроверенные зависимости. Для GitHub Actions важны короткоживущие токены, минимальные permissions и контроль workflow, которые запускаются из внешних вкладов.
Для разработчиков практический вывод простой: если проект зависит от перечисленных пакетов или от близких к ним внутренних форков, нужно проверить lockfile, версии, журнал установок и CI-логи за последние дни. Особое внимание — машинам, где запускались npm install или сборки с affected versions, потому что такие атаки часто оставляют след не в исходном коде проекта, а в окружении разработчика и секретах, которые оно видело.
Источник: The Hacker News, 26 июня 2026