«Mini Shai-Hulud» (CVE-2026-45321) — самовоспроизводящийся червь от группы TeamPCP. С 29 апреля 2026 скомпрометированы 500+ пакетов в npm, PyPI и Composer (общие загрузки >500 млн/неделю). Последняя волна — 19 мая через взлом аккаунта @ antv. При установке заражённого пакета срабатывает preinstall-хук, загружающий runtime Bun (обходит Node.js-безопасность) и обфусцированный скрипт. Он крадёт GitHub-токены, AWS-ключи, npm-токены, Kubernetes-секреты и CI/CD данные прямо из памяти runner. Впервые вредоносные npm-пакеты имеют валидные SLSA-аттестации — этому маркеру безопасности теперь нельзя верить. На системах с локалью Израиля/Ирана — 1 шанс из 6 на рекурсивное удаление всех данных.

Срочные меры: откатить все токены, проверить раннеры GitHub Actions на наличие репозиториев с описанием «A Mini Shai-Hulud has Appeared», заблокировать C2-домены t[.]m-kosche[.]com и git-tanstack[.]com. Проверить файлы .vscode/tasks.json и ~/.claude/settings.json на машинах разработчиков — туда червь пишет персистенцию. Не доверяйте SLSA-провенансу.