🐛 «Шай-Хулуд» в вашем коде: новый вирус атакует GitHub через галлюцинации ИИ Фанаты «Дюны» оценили бы название, но разработчикам сейчас не до шуток. Исследователи обнаружили вредоносного червя Shai-Hulud, который уже заразил более 800 npm-пакетов и угрожает 25 000 репозиториев. Как это работает (и при чем тут ИИ): Атака использует уязвимость, которую назвали «галлюцинацией пакетов». 1️⃣ ИИ-кодинг-ассистенты (вроде Copilot или ChatGPT) иногда выдумывают названия библиотек, которых не существует, предлагая их разработчикам. 2️⃣ Хакеры отслеживают эти «выдумки», регистрируют пакеты с такими именами и нашпиговывают их вредоносным кодом. 3️⃣ Разработчик (или сам ИИ-агент) делает npm install, думая, что это легитимная библиотека. Кто под ударом? В списке целей оказались SDK и инструменты, связанные с крупными сервисами: Zapier, PostHog, Postman, Atlassian. Чем опасен: Червь ворует переменные окружения, учетные данные AWS и ключи API, отправляя их злоумышленникам. Мораль: Доверяй, но
🐛 «Шай-Хулуд» в вашем коде: новый вирус атакует GitHub через галлюцинации ИИ
1 декабря 20251 дек 2025
2
~1 мин