Отзыв сертификата вместо этого вызывает физическую ликвидацию? Взломщик TanStack с секретной червоточиной был открыт как исходный код, содержащий необратимый аварийный выключатель

По данным мониторинга Beating, хакерская группа TeamPCP, ответственная за создание атаки на цепочку поставок npm, открыла на GitHub полный исходный код вредоносного червя Mini Shai-Hulud под лицензией MIT. Специалисты по безопасности обнаружили в коде, что это вредоносное ПО оснащено «мертвой кнопкой»: если заражённый разработчик без полного удаления остатков файлов сразу же аннулирует украденные учетные данные GitHub или облачных сервисов, вредоносная программа немедленно полностью очистит домашний каталог компьютера.

Исследователи подтвердили, что этот червь устанавливает в фоновом режиме macOS или Linux демон, который каждую минуту проверяет действительность украденных учетных данных. Как только обнаруживается отказ в доступе (что означает, что жертва произвела ротацию учетных данных), червь немедленно вызывает системную команду shred, которая безвозвратно уничтожает все доступные для записи файлы в домашнем каталоге текущего пользователя.

Это напрямую нарушает обычные процедуры реагирования на инциденты безопасности: при утечке учетных данных первым шагом обычно является немедленное аннулирование ключей, но в этой атаке это может привести к уничтожению локальных данных. В настоящее время подтверждено, что червь заразил около 400 версий более чем 170 пакетов, включая TanStack, UiPath и Mistral AI. После того, как хакеры опубликовали исходный код под аккаунтом PedroTortoriello и высмеяли «открытие этой бойни», сторонние разработчики даже подали PR с добавлением поддержки FreeBSD. В настоящее время Microsoft быстро заблокировала этот аккаунт и удалила все репозитории и форки на GitHub, однако уже утекшие исходники продолжают распространяться через другие каналы.