18.05.2026
1 хв
140
Фахівці з кібербезпеки виявили в npm чотири шкідливі пакети, які використовувалися для викрадення даних і розгортання DDoS-ботнету. Один із них містив майже повну копію відкритого черв’яка Shai-Hulud, який нещодавно опублікувала група TeamPCP.
Список ідентифікованих пакетів:
крейдяні шаблони (825 завантажень)
@deadcode09284814/axios-util (284 завантаження)
axois-utils (963 завантажень)
утиліти для стилю кольору (934 завантажень)
За даними OX Security, усі пакети були завантажені одним npm-користувачем під ніком «deadcode09284814», але містили різні типи шкідливого навантаження. На момент публікації бібліотеки все ще залишалися доступними для завантаження через npm.
Серед виявлених пакетів дослідники назвали:
chalk-tempalte
@deadcode09284814/axios-util
axois-utils
color-style-utils
У OX Security зазначили, що пакет «chalk-tempalte» фактично копіює код черв’яка Shai-Hulud, який TeamPCP зробила публічним минулого тижня.
«Зловмисник узяв код і майже без жодних змін завантажив у npm робочу версію зі своїм власним C2-сервером і приватним ключем».
Дослідники вважають, що публікація могла бути натхненна конкурсом supply chain-атак, який з’явився на BreachForums невдовзі після відкриття коду Shai-Hulud.
Аналіз показав, що пакет «axois-utils» використовується для розгортання DDoS-ботнету Phantom Bot, написаного на Golang. Malware здатний атакувати цілі через HTTP, TCP та UDP-запити, а також закріплюватися в системі як у Windows, так і в Linux.
Для збереження персистентності шкідливий код додає себе до автозавантаження Windows і створює заплановані завдання. Решта пакетів працюють як інфостілери та викрадають конфіденційні дані із заражених систем.
Зокрема, «chalk-tempalte» не лише запускає клон Shai-Hulud, а й відправляє викрадені облікові дані на віддалений C2-сервер 87e0bbc636999b.lhr[.]life. Крім цього, malware використовує викрадені GitHub-токени для створення нових публічних репозиторіїв через API.
Таким репозиторіям автоматично додається опис:
«A Mini Sha1-Hulud has Appeared».
Два інші пакети, «@deadcode09284814/axios-util» та «color-style-utils», мають простіший функціонал. Вони крадуть SSH-ключі, змінні середовища, IP-адреси, системну інформацію, хмарні облікові дані та дані криптогаманців, після чого передають їх на сервери 80.200.28[.]28:2222 та edcf8b03c84634.lhr[.]life.
У OX Security попереджають, що відкриття вихідного коду Shai-Hulud може спровокувати нову хвилю атак на ланцюги поставок.
«Зловмисники стають ще більш мотивованими проводити атаки на ланцюги поставок та виправлення типографських помилок, оскільки атаки стають легшими завдяки тому, що код Шай-Хулуда став відкритим».
Дослідники вважають, що це лише початок масштабнішої кампанії, де один оператор використовує різні інфостілери та методи зараження для поширення шкідливого коду через npm.
Користувачам, які встановили ці пакети, рекомендують негайно видалити їх, перевірити IDE та AI-агентів для кодування на кшталт Claude Code, перевипустити секрети та токени, а також знайти GitHub-репозиторії з рядком «A Mini Sha1-Hulud has Appeared». Окремо фахівці радять заблокувати мережевий доступ до підозрілих доменів і серверів, пов’язаних із кампанією.
