Apa yang terjadi
Gelombang Hades dari kampanye supply-chain Shai-Hulud/Miasma (yang dikaitkan dengan UNC6780/TeamPCP) meracuni 26+ paket PyPI pada 8 Juni 2026, secara khusus menargetkan tooling AI/ML dan bioinformatika. Kampanye ini memperkenalkan LLM scanner evasion (prompt injection dalam payload yang menargetkan tools triase berbasis AI) dan credential-wiper deterrent (daemon yang mengancam tindakan destruktif jika kredensial yang dicuri dirotasi). Worm menargetkan kredensial khusus AI termasuk konfigurasi MCP server, API key Anthropic/OpenAI, dan token AI coding agent. Typosquat langchain-core-mcp termasuk di antara paket-paket berbahaya, secara langsung menargetkan pengguna LangChain. Analisis Zscaler ThreatLabz (teks lengkap terverifikasi) mendokumentasikan evolusi kampanye dari V1 (Sept 2025) melalui gelombang IDE dan PyPI Juni 2026, dengan kode sumber dirilis secara publik di bawah MIT pada 12 Mei 2026 — mengubahnya menjadi infrastruktur serangan yang dapat digunakan kembali.
Mengapa penting
Kampanye ini adalah serangan supply chain ekosistem AI yang paling canggih yang pernah diamati. Kampanye ini secara langsung menargetkan pengembang AI dan tooling mereka, melakukan exfiltration terhadap AI API key dan kredensial penyedia model yang mengontrol akses ke model frontier. Teknik LLM scanner evasion — menanamkan prompt injection dalam payload berbahaya untuk menipu analis keamanan berbasis AI — adalah eskalasi yang novel dan memprihatinkan yang melemahkan tooling keamanan berbantuan AI. Wiper daemon membalikkan playbook respons insiden. Rilis MIT publik dari kode sumber worm berarti setiap aktor ancaman sekarang dapat menjalankan kampanye ini.
Vektor serangan
Paket yang dikompromikan mengirimkan file *-setup.pth yang dieksekusi pada setiap startup interpreter Python (sebelum impor apa pun). Hook mengunduh runtime Bun JavaScript dari GitHub dan mengeksekusi payload _index.js yang telah dikaburkan yang membaca memori proses (melalui /proc/{pid}/mem di Linux, Mach APIs di macOS, ReadProcessMemory di Windows) untuk memanen kredensial di seluruh 14 sistem AI/cloud/DevOps. Data yang dicuri dienkripsi dengan AES-256-GCM + RSA-2048 dan diexfiltrasi ke repo GitHub yang dikontrol penyerang. Daemon 'gh-token-monitor' persistence mengancam tindakan destruktif jika token yang dicuri dirotasi. Payload menanamkan teks prompt injection untuk menghindari pemindai keamanan berbasis LLM.
Sistem yang terdampak
26+ paket PyPI di seluruh tooling bioinformatika, graph-ML, dan deep-learning (termasuk typosquat langchain-core-mcp); lingkungan Python pada OS apa pun; pipeline CI/CD
Mitigasi
Audit lingkungan Python untuk file *-setup.pth dari sumber yang tidak dikenal. Periksa paket terinstal terhadap daftar IOC (embiggen, ensmallen, gpsea, langchain-core-mcp, rsquests, tlask, rlask, dan lainnya). Isolasi sistem yang terpengaruh sebelum merotasi kredensial untuk menghindari pemicu daemon wiper. Pin paket ke hash yang terverifikasi. Monitor nama repository GitHub stygian-cerberus-* dan tartarean-charon-* (repo exfil C2).