TeamPCP利用蠕蟲Mini Shai-Hulud滲透逾400個NPM與PyPI套件

資安公司Aikido、SafeDep、Snyk、Socket、Wiz指出，這波攻擊是4月底蠕蟲活動Mini Shai-Hulud的延續。SafeDep指出，截至5月11日，TeamPCP總共入侵170個NPM套件與2個PyPI套件，發布了404個惡意版本，其中，有42個是網頁應用程式框架TanStack的套件、65個是UiPath自動化工具的套件，Mistral AI的SDK軟體則是NPM與PyPI套件都被入侵，其他受害者，每週下載量達130萬次的NPM套件OpenSearch，以及Guardrails AI的PyPI套件，SafeDep強調，這是今年規模最大的程式碼儲存庫攻擊事件，而且範圍同時涵蓋NPM與PyPI。根據Socket的統計，5月15日已累計出現416個惡意套件。

值得留意的是，Snyk提及，TanStack的路由器套件家族是駭客最早入侵的管道，隨後蠕蟲透過自我散播的特性，迅速造成大規模感染。