Apa yang terjadi
SecurityWeek melaporkan pada 9 Juni 2026 bahwa varian Shai-Hulud baru (Miasma, menargetkan npm sejak 1–3 Juni, dan Hades/Mini Shai-Hulud, menargetkan PyPI) kini telah mengkompromikan lebih dari 100 paket di kedua ekosistem. GitHub menonaktifkan 73 repositori Microsoft (Azure, Azure-Samples, MicrosoftDocs, organisasi Microsoft) pada 5 Juni setelah Miasma mengkompromikan kembali proyek durabletask Azure. Varian Hades PyPI secara independen mengkompromikan 37 berkas wheel berbahaya di seluruh 19 paket. Paket yang dikompromikan dan terkonfirmasi terkait AI mencakup SDK Python mistralai dan guardrails-ai. Kampanye ini menggunakan rutinitas penghapusan diri yang destruktif yang dipicu oleh pencabutan token npm, secara efektif bertindak sebagai ransomware terhadap pemelihara yang mencoba remediasi.
Mengapa penting
Ini adalah serangan langsung pada rantai pasokan pengembang AI: paket SDK AI (mistralai, guardrails-ai) dikompromikan, kredensial alat AI secara khusus ditargetkan, dan mekanisme persistensi novel memanfaatkan model kepercayaan agen pengkodean AI (hook Claude Code SessionStart) untuk bertahan dari remediasi standar. Kredensial yang dicuri mencakup token AWS, GCP, Azure, GitHub, npm, Kubernetes, Vault, dan kunci API layanan AI. Penggunaan worm terhadap provenance SLSA Build Level 3 yang valid membuatnya sangat sulit terdeteksi melalui pemeriksaan attestasi rantai pasokan standar.
Vektor serangan
Worm rantai pasokan yang dapat mereplikasi diri menggunakan hook siklus hidup npm preinstall/postinstall (dan 'Phantom Gyp' binding.gyp dalam gelombang Miasma) untuk menjalankan pencuri kredensial berbasis Bun saat instalasi. Worm mengikis /proc/{pid}/mem untuk mengekstrak semua rahasia CI/CD, mengumpulkan 100+ tipe kredensial termasuk token alat AI, kemudian menerbitkan kembali versi paket yang dipoisonkan dari semua paket yang dikendalikan oleh pemelihara yang dikompromikan. Persistensi dicapai dengan menyuntikkan hook SessionStart ke dalam .claude/settings.json dan tugas folderOpen ke dalam .vscode/tasks.json — ini bertahan dari penghapusan paket karena berada di konfigurasi proyek, bukan node_modules.
Sistem yang terdampak
Paket npm dan PyPI — paket yang terkonfirmasi dikompromikan termasuk mistralai (2.4.6), guardrails-ai (0.10.1), @tanstack/* (84 versi berbahaya di seluruh 42 paket), @redhat-cloud-services (32 paket, 96 versi), @vapi-ai/server-sdk, dan lainnya; persistensi dalam hook Claude Code ~/.claude/settings.json dan .vscode/tasks.json di mesin pengembang
Mitigasi
Audit semua dependensi npm/PyPI untuk versi yang dikompromikan; rotasi semua rahasia yang ada di alur kerja CI/CD yang terpengaruh; audit .claude/ dan .vscode/tasks.json di semua repositori yang dikloning sebelum membuka di agen pengkodean AI apa pun; pertimbangkan semua instalasi mistralai 2.4.6 dan guardrails-ai 0.10.1 dikompromikan; periksa deskripsi token npm 'IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner'; tinjau nasehat StepSecurity, Snyk, dan Sonatype untuk daftar IOC lengkap.