Neue Shai-Hulud-Angriffe kompromittieren 23 PyPI-Pakete und zielen auf MCP-Entwickler ab

Der Hook wird beim Start öst, lädt das Bun-JavaScript-Runtime stillschweigend herunter und führt das verschlüsselte Diebstahl-Payload aus. Auslöser für das Importieren nativer Erweiterungen: Bösartiger Code ist direkt in kompilierte.abi3.so-Erweiterungen eingebettet.

Der Python-Quellcode erscheint sauber, doch führt die Erweiterung _index.js sofort aus, sobald Python das Modul über dlopen() lädt – wodurch Quellcode-basierte Prüfpipelines vollständig umgangen werden. Variante des langchain-core-mcp-Laders: Die innovativste Technik: Das Wheel installiert einen.pth-Lader, liefert aber _index.js nicht mit.

Stattdessen durchsucht es jeden Eintrag in sys.path sowie das darunterliegende Verzeichnis nach der Last Rest der Python-Umgebung, wodurch eine Architektur mit getrennter Bereitstellung entsteht, die Erkennungsregeln umgehen kann, die davon ausgehen, dass Lader und Last im selben Wheel koexistieren. 23 PyPI-Pakete wurden kompromittiert.

Technik und Auswirkungen

Die 23 neuen Artefakte erstrecken sich über drei thematisch klar abgegrenzte Cluster, die darauf ausgelegt sind, die Exposition gegenüber Entwicklern zu maximieren: Bioinformatik-Pakete: Trojanisierte legitime Forschungswerkzeuge, darunter embiggen, ensmallen, gpsea, phenopacket-store-toolkit, ppkt2synergy und pyphetools – Pakete, die Graph-Learning-, Patient-Phänotypisierungs- und Genomik-Workflows eingesetzt werden.

MCP/KI-thematische Pakete: langchain-core-mcp, openai-mcp, instructor-mcp, tiktoken-mcp und ray-mcp-server – explizit auf Entwickler ausgerichtet, die Integrationen für das Model Context Protocol entwickeln.

Tippfehler-basierte Pakete: rsquests, tlask und rlask – täuschend echte Nachahmungen, die darauf abzielen, Installationen, die requests, Flask und verwandte Werkzeuge nutzen.

Technik und Auswirkungen

Die _index.js-Payload setzt eine neuartige KI-gestützte Anti-Analyse-Technik um, indem sie einen großen gefälschten System-Instruktions-Block in einen nicht ausführbaren JavaScript-Kommentar Anfang der Datei einbettet.

Bun überspringt den Kommentar vollständig zur Laufzeit, doch er ist so konzipiert, dass Sicherheitsablehnungen, Kontaminierung des Kontexts und eine vorzeitige Klassifizierung in KI-gestützten Triage-Pipelines auslöst, Socket Threat Research -Aufruf eingewickelt, der ein Array aus Zeichenkodierungen mit einer ROT-artigen Substitutionschiffre umgibt.

Herkömmliche Erkennungsmethoden wie YARA-Regeln, Entropieanalyse und AST-Parsing bleiben gegen diese Technik wirksam.

Technischer Hintergrund

Sobald die Hades-Familie-Payload über einen der drei Lieferzweige ausgeführt wird, erntet sie aggressiv Geheimnisse aus Entwickler-Workstations und CI/CD-Umgebungen: GitHub-, npm-, PyPI-, RubyGems- und JFrog-Token, Cloud-Zugangsdaten (AWS, Azure, GCP) sowie Kubernetes-Service-Account-Material, SSH-Schlüssel, Docker-Konfigurationen, Shell-Historien und.env-Dateien, Konfigurationen für KI-Entwicklungswerkzeuge und Zugangsdaten für Paketregister.

Indikatoren für Kompromittierungen (IOCs) Die folgenden 23 neu identifizierte bösartige PyPI-Artefakte müssen sofort blockiert oder entfernt werden: dreamgen: Bösartige Version(en): 1.8.1 embiggen: Bösartige Version(en): 0.11.97 ensmallen: Bösartige Version(en): 0.8.10 gpsea: Bösartige Version(en): 0.9.14 instructor-mcp: Bösartige Version(en): 1.15.2, 1.15.3 langchain-core-mcp: Bösartige Version(en): 1.4.2, 1.4.3 mem8: Bösartige Version(en): 6.0.1 mflux-streamlit: Bösartige Version(en): 0.0.3, 0.0.4