Zaawansowany robak npm o nazwie 'Mini Shai-Hulud' rozprzestrzenia się w znanych projektach deweloperskich, takich jak TanStack, UiPath i DraftLab, według ChainCatcher. System monitorowania zagrożeń MistEye, obsługiwany przez firmę zajmującą się bezpieczeństwem blockchain, SlowMist, wykrył robaka. Napastnicy przejmują dane logowania do GitHub, aby wydawać złośliwe pakiety oprogramowania podszywające się pod legalne aktualizacje. Te pakiety zawierają ukryty skrypt, router_init.js, który działa w tle w środowiskach CI/CD, takich jak GitHub Actions. Robak jest zaprojektowany, aby kradł klucze CI/CD, klucze infrastruktury chmurowej oraz informacje o portfelach kryptowalutowych, wykorzystując infrastrukturę GitHub do wykradania danych.

SlowMist podzielił się informacjami o zagrożeniach z klientami, zalecając projektom korzystającym z dotkniętych pakietów, aby sprawdziły swoje pipeline'y CI/CD pod kątem obecności pliku router_init.js. Zalecają rotację wszystkich ujawnionych danych logowania do GitHub, usług chmurowych oraz kryptowalut oraz ciągłe monitorowanie nietypowych działań w tle w środowisku deweloperskim.