"Shai-Hulud" olarak bilinen gizli bir kötü amaçlı yazılım kampanyası, geliştirici boru hatlarına sızarak kripto cüzdanları ve bulut kimlik bilgileri için önemli bir tehdit oluşturuyor. Araştırmacılar, NPM ve PyPI depolarında yaklaşık 320 kötü amaçlı paket tespit etti; bu paketler toplamda aylık 518 milyondan fazla indirme sayısına sahip. Kötü amaçlı yazılım, otomatik araç zincirlerini kullanarak kendini güvenilir paketlere ve derleme boru hatlarına yerleştiriyor, bu da hasar oluşana kadar tespit edilmesini zorlaştırıyor. Son olaylar arasında PyPI'deki bir Mistral AI paketine kötü amaçlı kod eklenmesi ve OpenAI çalışanlarının cihazlarının enfekte olması yer alıyor; bu durum kısa süreliğine dahili kod depolarının açığa çıkmasına neden oldu. Siber suç grubu TeamPCP ile bağlantılı olan kampanya, popüler bir JavaScript çerçevesi olan TanStack'i de hedef aldı. Güvenlik firmaları, taklit paketlerin dolaşımda olduğunu, bulut ve kripto cüzdan kimlik bilgilerini çaldığını ve makineleri DDoS botnetlerine katmak için kullandığını bildiriyor. Uzmanlar, blok zinciri ve kripto projeleri için saldırı yüzeyinin geliştirici makineleri ve CI/CD sistemlerini içerdiği konusunda uyarıyor. Önerilen savunmalar arasında daha sıkı bağımlılık kontrolleri, daha güçlü yayınlama korumaları ve kötü amaçlı paketler için otomatik tarama yer alıyor. Shai-Hulud kampanyası, geliştirici boru hatlarında sağlam güvenlik önlemlerinin gerekliliğini vurguluyor, böylece fonların ele geçirilmesine karşı koruma sağlanıyor.