Как мы и предполагали, вредоносная программа Shai-Hulud, попавшая в сеть на прошлой неделе, теперь активно используется в новых атаках на Node Package Manager (npm): зараженные пакеты появились уже в минувшие выходные дни.

Некто deadcode09284814 выкатил четыре вредоносных пакета в npm и внедрил в один из них необфусцированную версию Shai-Hulud, которая нацелена на получение учетных данных разработчика, секретных ключей, данных криптокошельков и информации об учетной записи.

Все вредоносные пакеты содержали процедуры, которые извлекали информацию, такую как учетные данные и файлы конфигурации, но один из них также превращал систему в бота для распределенных атак типа DDoS.

Исследователи OXsecurity обнаружили вредоносные загрузки в выходные дни и заметили, что злоумышленник использовал имена с орфографическими ошибками (типосквоттинг), нацеленные на пользователей Axios, а также на некоторые общие имена:

- chalk-tempalte – клон Shai-Hulud, приписываемый TeamPCP, ответственной за недавнюю атаку Mini Shai-Hulud на цепочку поставок ПО.
- deadcode09284814/axios-util – программа для кражи учетных данных и облачной конфигурации;
- axois-utils – Infostealer и DDoS-ботнет;
- color-style-utils – базовый инструмент для кражи информации, нацеленный на криптокошельки и IP.

Shai-Hulud появилась на GitHub на прошлой неделе, сопровождаемая сообщением, предположительно от TeamPCP, со словами: «И снова - пусть бойня продолжается. Подарок от TeamPCP».

Пакет chalk-template, по всей видимости, является первым задокументированным случаем клонирования Shai-Hulud, развернутого в npm, хотя OXsecurity отмечает, что это не сложный пример, а скорее неизмененная копия просочившегося исходного кода без какой-либо защиты.

Вредоносная программа крадет учетные данные, секреты, данные криптокошелька и информацию об учетной записи, а затем передает их на сервер C2 по адресу 87e0bbc636999b[.]lhr[.]life.

Код сохраняет функциональность публикации на GitHub, поэтому он загружает украденные учетные данные в общедоступные автоматически сгенерированные репозитории.

Из остальных трех пакетов axois-utils выделяется тем, что, помимо функций кражи информации, присутствующих во всех четырех пакетах, он также включает в себя возможность проведения DDoS-атак.

Пакет поддерживает атаки типа HTTP, TCP и UDP flood, а также атаки типа TCP reset, при этом исследователи обнаружили внутренние упоминания о «фантомном боте».

Кампания Shai-Hulud, задокументированная в сентябре 2025 года, неоднократно повторялась, похищая данные разработчиков путем внедрения вредоносного ПО в легитимные проекты.

После кражи учетных данных для аккаунтов с правами на публикацию, похищенная информация становилась доступной в общедоступных репозиториях GitHub. Эти кампании приписывались хакерской группе TeamPCP.

В предыдущем отчете OXsecurity сообщала, что злоумышленники быстро скопировали исходный код вредоносного ПО и начали модифицировать его для расширения его возможностей.

Исследователи рекомендуют разработчикам, загрузившим зараженные npm-пакеты, немедленно удалить их и сменить учетные данные и API-ключи в затронутых системах. По данным OXsecurity, общее количество загрузок четырех пакетов составило 2678.