Shai-Hulud атакует CI/CD и PyPI: новая угроза supply chain
Кампания Shai-Hulud, связанная с злоумышленником TeamPCP и отслеживаемая как UNC6780, заметно изменилась с момента первого анализа в ноябре 2025 года. Если изначально речь шла о классических атаках на supply chain программного обеспечения, то к весне и лету 2026 года кампания вышла на новый уровень сложности: злоумышленники стали целенаправленно атаковать Python Package Index (PyPI), злоупотреблять рабочими процессами CI/CD и обходить механизмы подтверждения происхождения артефактов, включая Supply-chain Levels for Software Artifacts (SLSA).
От PyPI до GitHub Actions: как развивалась атака
Ключевой поворот произошел в марте 2026 года, когда TeamPCP расширил активность на PyPI. В рамках атаки был скомпрометирован сканер уязвимостей Trivy от Aqua Security через cache poisoning в GitHub Actions. Это позволило злоумышленникам внедрить вредоносные binary files в процессы управления зависимостями, что в первую очередь затронуло библиотеку LiteLLM для Python.
Для закрепления использовались файлы .pth, которые автоматически загружаются Python при запуске. Такой механизм обеспечивал выполнение вредоносных payloads без явных действий пользователя, что существенно повышало эффективность атаки и снижало вероятность оперативного обнаружения.
Эскалация в мае: эксплуатация pull_request_target и OIDC tokens
В мае 2026 года кампания перешла к еще более опасной тактике — злоупотреблению GitHub Actions через неправильную конфигурацию pull_request_target. Это позволило злоумышленникам извлекать OpenID Connect (OIDC) tokens из памяти CI-agent и использовать их для публикации вредоносных пакетов с валидной provenance.
Примечательно, что даже после компрометации были опубликованы 84 артефакта из репозитория TanStack, и внешне они выглядели легитимно. Этот эпизод наглядно демонстрирует, насколько опасной становится эксплуатация доверия к автоматизированным процессам публикации: базовая инфраструктура может оставаться формально неповрежденной, но при этом быть скомпрометированной через вредоносные вклады в CI/CD pipeline.
Обход AI-based security tools
Отдельного внимания заслуживает применение prompt injection для обхода систем безопасности на основе искусственного интеллекта. По данным отчета, злоумышленники манипулировали логикой parsing языковых моделей, заставляя их классифицировать вредоносную полезную нагрузку как безопасную.
Это позволяло malicious packages избегать обнаружения на этапе automated security triage. Фактически кампания показала, что AI-based security tools сами становятся поверхностью атаки, если их поведение можно предсказуемо искажать через специально подготовленный input.
Публикация исходного кода и рост рисков
12 мая 2026 года публичная публикация полного исходного кода worma вызвала заметный сдвиг в ландшафте угроз. Приватные методы атаки превратились в общедоступный инструментарий, который теперь могут использовать и модифицировать внешние actors.
Это осложняет attribution и одновременно увеличивает риск повторного применения техник в других кампаниях. Иными словами, даже если первоначальная активность связана с конкретной группой, после публикации кода границы между оригинальным злоумышленником и последующими копиями становятся менее четкими.
Расширение за пределы package registries
В июне 2026 года Shai-Hulud продемонстрировала дальнейшую adaptiveness: методы атаки стали использоваться не только против традиционных package registries, но и для внедрения вредоносных workflows и configuration files непосредственно в среды разработки инструментов. Это привело к приостановке работы нескольких repositories Microsoft.
Такой сдвиг подчеркивает, что современные supply chain attacks больше не ограничиваются подменой пакетов. Злоумышленники стремятся воздействовать на весь жизненный цикл разработки — от source code и dependency management до автоматизированной сборки, публикации и защитного анализа.
Что делает Shai-Hulud особенно опасной
Постоянная эволюция Shai-Hulud указывает на систематическую атаку сразу на несколько критических областей безопасности программной цепочки поставок:
- authentication maintainers;
- code execution during installation;
- reliability of security tools;
- AI-assisted code analysis.
Именно сочетание этих векторов делает кампанию особенно опасной. Злоумышленники не просто внедряют вредоносный код в package ecosystem, а последовательно подрывают доверие к процессам, на которых строится современная разработка ПО.
«Постоянное совершенствование и усложнение этих атак требуют адаптивной стратегии защиты», — следует из содержания отчета.
Вывод
Shai-Hulud уже нельзя рассматривать как очередную supply chain-кампанию. Это пример многоэтапной, адаптивной и технологически зрелой операции, которая использует слабые места в PyPI, GitHub Actions, OIDC tokens, SLSA и AI-based security tools.
Главный вывод из отчета очевиден: защита экосистем разработки должна учитывать не только уязвимости в коде и пакетах, но и компрометацию доверенных автоматизированных процессов, на которых держится вся современная software supply chain.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
