Специалисты по кибербезопасности сообщили о новом варианте вредоносного червя Shai-Hulud, обнаруженном в реестре пакетов npm. Этот вариант отличается от предыдущей волны атак, наблюдавшейся в прошлом месяце.
Вредоносный код был найден в npm-пакете @vietmoney/react-big-calendar, который изначально был опубликован в марте 2021 года пользователем hoquocdat. Этот пакет обновили 28 декабря 2025 года и выпустили версию 0.26.2. С момента первой публикации пакет был скачан несколько сотен раз, в том числе и уже обновлённую версию.
Представители компании Aikido, обнаружившие этот пакет, отметили, что массового распространения или вспышек заражения пока не наблюдается, что может означать, что злоумышленники тестируют свою полезную нагрузку перед возможной дальнейшей активацией.
По словам исследователя Чарли Эриксена, в новом варианте содержатся изменения в коде. Эти изменения говорят о том, что код был снова обфусцирован (то есть намеренно усложнён для сокрытия его смысла), а не просто модифицирован в уже существующем варианте, что делает маловероятным, что это просто подражание.
Оригинальная атака Shai-Hulud впервые привлекла внимание в сентябре 2025 года. Тогда злоумышленники распространяли троянские npm-пакеты, которые при установке крали конфиденциальные данные (ключи API, облачные и GitHub-токены) и отправляли их на публичные репозитории GitHub с помощью украденных токенов. Вторая волна атак, зафиксированная в ноябре 2025 года, получила название "Sha1-Hulud: The Second Coming".
Главная опасность кампании заключается в том, что вредоносное ПО может автоматически использовать npm-токены для изменения других пакетов, встраивая туда вредоносный код и тем самым компрометируя цепочку поставок программного обеспечения.
Source: HN