シャイ・フルード・ハデス 新しい変種が PyPI を攻撃し、Python から Bun へのクロスランタイムチェーンを利用して認証情報を盗む

慢雾によると、Shai-Hulud Hadesの新しい変種がPyPIを攻撃していることが発見されました。悪意のあるパッケージは.pthファイルを投下し、Pythonの起動時に自動的に実行され、ローカルにBunがインストールされているかどうかを検出します。インストールされていない場合は、GitHub Releasesから公式のBunバイナリファイルをダウンロードし、さらに多層の難読化されたJavaScriptペイロードを実行して、GitHub、npm、AWSおよびクラウドサービスの認証情報を盗み出します。

慢雾は、この変種が以前のShai-Hulud攻撃で使用されたのと同じRSA公開鍵とインフラを持ち、暗号化された外部送信、永続化、CI/CD注入、GitHub Actions注入などの能力を備えていると述べています。