#news Буднично фиксируем новые атаки на цепочку поставок. Вчера были скомпрометированы lightning и intercom-client на PyPI — популярные пакеты с миллионами скачиваний, всё как полагается. И это лишь часть кампании с ироничным самоименованием “Mini Shai-Hulud”.
Дикий мини Шаи-Хулуд объявился пару дней назад и скомпрометировал четыре SAP’овских пакета на npm с приличным охватом по их девелоперской экосистеме и ещё несколько крупных на PyPI и PHP. Всё это проходит в духе предыдущих инцидентов от TeamPCP: инфостилер, много шума, пара часов компрометации — исследователи только и успевают стучаться по мейнтейнерам и отчёты по следам угона писать. Впрочем, от Шаи-Хулуда одно название: стянутое зашифровано, и на RU-локалях малварь отключается. Автор неповторимого оригинала просто хотел видеть экосистему в огне, а это так, жалкая пародия под монетизацию. На последствия визита такого гостя в репы можно глянуть в поиске Github.
