19. svibnja, 633 zlonamjerne verzije npm paketa prošao Sigstore provjeru porijekla. Sustav ih je izbrisao jer je napadač generirao važeće certifikate za potpisivanje s kompromitiranog računa održavatelja.
Sigstore je radio točno onako kako je zamišljeno: potvrdio je da je paket izgrađen u CI okruženju, potvrdio da je izdan važeći certifikat i sve zabilježio u dnevnik transparentnosti. Ono što ne može učiniti jest utvrditi je li osoba koja ima vjerodajnice autorizirala objavu — a ta je praznina pretvorila posljednji automatizirani signal povjerenja u npm-u u kamuflažu.
Dan ranije, StepSecurity dokumentirao napad na proširenje Nx Console VS Codeširoko korišten razvojni alat s više od 2,2 milijuna doživotnih instalacija. Verzija 18.95.0 objavljena je pomoću ukradenih vjerodajnica 18. svibnja i ostala je aktivna manje od 40 minuta — ali Nx interna telemetrija pokazala je približno 6000 aktivacija tijekom tog prozora, većinu putem automatskog ažuriranja, u usporedbi sa samo 28 službenih preuzimanja. Korisni teret sakupio je konfiguracijske datoteke Claude Code, AWS ključeve, GitHub tokene, npm tokene, sadržaj trezora 1Password i tokene računa usluge Kubernetes.
Kampanja Mini Shai-Hulud, koju više istraživača pripisuje financijski motiviranom akteru prijetnje identificiranom kao TeamPCP, stigla je u npm registar u 01:39 UTC 19. svibnja. Endor Labs otkrio je početni val kada su dva neaktivna paketa, jest-canvas-mock i size-sensor, objavila nove verzije koje sadrže maskiranu Bun skriptu od 498 KB — niti jedan nije ažuriran više od tri godine, čineći iznenadnu verziju sa sirovim GitHub ovisnostima hashiranja signalom za otkrivanje, ali samo ako alati promatraju.
Do 02:06 UTC, crv se proširio ekosustavom vizualizacije podataka @antv i desecima paketa bez opsega, uključujući echarts-for-react (~1,1 milijun preuzimanja tjedno). Socket je povećao ukupan broj na 639 kompromitiranih verzija u 323 jedinstvena paketa u ovom valu. Tijekom cijelog životnog ciklusa kampanje, Socket je pratio 1055 zlonamjernih verzija u 502 paketa koji obuhvaćaju npm, PyPI i Composer.
StepSecurity je potvrdio da sadržaj sadrži punu integraciju Sigstorea. Napadač nije samo ukrao vjerodajnice; mogli su potpisati i objaviti nizvodne npm pakete koji su nosili valjane potvrde o porijeklu.
Ova dva incidenta nisu izolirana. Istraživački timovi u Endor Labs, Socket, StepSecurity, Adversa AI, Johns Hopkins, Microsoft MSRC i LayerX neovisno su dokazali da je model provjere alata za razvojne programere pokvaren i da niti jedan okvir dobavljača ne revidira sve površine napada koje nisu uspjele.
Sedam površina napada nije uspjelo u 48 sati između 18. i 19. svibnja — krivotvorenje npm porijekla, krađa vjerodajnica ekstenzije VS koda, automatsko izvršenje MCP poslužitelja, brzo ubacivanje agenta CI/CD-a, izvršenje koda okvira agenta, izloženost pohrani vjerodajnica IDE i izloženost podataka AI u sjeni — a donja revizijska mreža prikazuje svaku.
Sadržaj objave
Model provjere podijeljen je na sva četiri glavna CLI-ja za kodiranje AI-jem
Adversa AI otkrio je TrustFall 7. svibnja, demonstrirajući da Claude Code, Gemini CLI, Cursor CLI i Copilot CLI svi automatski izvršavaju MCP poslužitelje definirane projektom u trenutku kada programer prihvati upit o povjerenju mape. Sva četiri zadana su na “Da” ili “Vjeruj”. Jednim pritiskom na tipku pokreće se proces bez testnog okruženja s punim privilegijama programera.
MCP poslužitelj radi s dovoljno privilegija za čitanje pohranjenih tajni i izvornog koda iz drugih projekata. Na CI runnerima koji koriste GitHub akciju Claudea Codea u bezglavom načinu rada, dijaloški okvir povjerenja nikada se ne prikazuje. Napad se izvodi bez ljudske interakcije.
Istraživači s Johnsa Hopkinsa Aonan Guan, Zhengyu Liu i Gavin Zhong objavili su “Comment and Control”, dokazujući da je zlonamjerna uputa u naslovu zahtjeva za povlačenje GitHub-a uzrokovala Claude Code Security Review da objavi vlastiti API ključ kao komentar. Isti napad uspio je na Google Gemini CLI Action i GitHubov Copilot Agent. Anthropic je ocijenio ranjivost CVSS 9.4 kritičnom kroz svoj program HackerOne.
Microsoft MSRC otkrio je dvije kritične ranjivosti semantičke jezgre 7. svibnja. Jedan usmjerava polja vektorske pohrane pod kontrolom napadača u Python eval() poziv; drugi izlaže metodu preuzimanja datoteke sa strane glavnog računala kao funkciju jezgre koja se može pozvati — što znači da jedan zatrovani dokument u vektorskoj trgovini pokreće proces na glavnom računalu.
LayerX sigurnosni istraživači zasebno su pokazali da Cursor pohranjuje API ključeve i tokene sesije u nezaštićenu pohranu, što znači da bilo koje proširenje preglednika može pristupiti vjerodajnicama razvojnog programera bez povišenih dopuštenja.
Akteri prijetnji koji traže te vjerodajnice udvostručili su svoj operativni tempo
The Izvješće o istrazi povrede podataka Verizon 2026objavljen 19. svibnja, otkrio je da 67% zaposlenika pristupa uslugama umjetne inteligencije s računa koji nisu korporativni na korporativnim uređajima. Shadow AI sada je treća najčešća insajderska radnja koja nije zlonamjerna u DLP skupovima podataka. Izvorni kod vodi sve vrste podataka koji se šalju neovlaštenim AI platformama — ista klasa sredstava na koju je ciljala kampanja crva npm.
The Izvješće o prijetnji financijskim uslugama CrowdStrike 2026objavljen 14. svibnja, dokumentira protivnike koji aktivno traže vrste vjerodajnica koje ti napadi prikupljaju.
STARDUST CHOLLIMA je utrostručio svoj operativni tempo protiv financijskih subjekata u četvrtom tromjesečju 2025. CrowdStrike je dokumentirao grupu koja koristi osobe regrutera generirane umjetnom inteligencijom na LinkedInu i Telegramu, slanje izazova zlonamjernog kodiranja koji su izgledali kao tehničke procjene i pokretanje lažnih videopoziva sa sintetičkim okruženjima. Ciljevi su GitHub PAT-ovi, npm tokeni, AWS ključevi i CI/CD tajne. Izloženost umjetne inteligencije u sjeni u 7. redu mreže su vrata kroz koja prolaze.
Alat za razvojne programere Stolen-Identity Audit Grid
Niti jedan okvir dobavljača trenutno ne obuhvaća svih sedam površina. Ova mreža preslikava svaku od njih na istraživanje koje ju je razotkrilo, ono što vaš skup ne može vidjeti i radnju revizije koju treba poduzeti prije sljedeće obnove dobavljača.
|
Napadna površina |
Objavio |
Što provjera nije uspjela |
Ono što vaš skup ne može vidjeti |
Revizijska radnja |
|
1. krivotvorina npm provenijencije |
Endor Labs, Socket (19. svibnja) |
Sigstore certifikati generirani iz ukradenih OIDC tokena prolaze automatsku provjeru |
EDR i SAST ne potvrđuju je li CI identitet koji je potpisao paket autorizirao objavljivanje |
Zahtijevajte dvostrano odobrenje za vrijeme objave za pakete s više od 10.000 tjednih preuzimanja. Nemojte tretirati zelenu značku Sigstore kao dokaz legitimnosti |
|
2. Krađa vjerodajnica VS Code extension |
StepSecurity (18. svibnja) |
VS Code Marketplace prihvatio je zlonamjernu verziju proširenja objavljenu s ukradenim tokenom suradnika |
Proširenje se automatski ažurira zaobilazeći otkrivanje krajnje točke. Prozor tržišta od 12:30 do 12:48 UTC; ukupna izloženost (uključujući Open VSX) 12:30 do 13:09 UTC |
Provedite pravila minimalne dobi za ažuriranja proširenja. Prikvačite kritične verzije proširenja. Pregledajte sva proširenja s pristupom API-jima terminala ili datotečnog sustava |
|
3. Automatsko izvršenje MCP poslužitelja |
Adversa AI, TrustFall (7. svibnja) |
Sva četiri dijaloška okvira za povjerenje CLI-ja zadano su postavljena na “Da/pouzdaj” bez nabrajanja koje će se izvršne datoteke pokrenuti |
EDR prati ponašanje procesa, a ne ono što LLM nalaže MCP poslužitelju da radi. WAF provjerava HTTP korisni teret, a ne namjeru poziva alata |
Onemogućite automatsko odobrenje MCP poslužitelja s opsegom projekta u Claude Code, Gemini CLI, Cursor CLI i Copilot CLI. Blokiraj .mcp.json u CI cjevovodima osim ako nije izričito dopušten |
|
4. Brzo ubrizgavanje sredstva CI/CD |
Johns Hopkins, Komentiranje i kontrola (travanj 2026.) |
Tijekovi rada GitHub Actions koji koriste pull_request_target ubacuju tajne u okruženja pokretača koje AI agenti obrađuju kao upute |
SIEM zapisnici prikazuju API poziv iz legitimne GitHub radnje. Sam poziv je napad. Ne postoji nepravilan mrežni potpis |
Migrirajte tijekove rada pregleda koda umjetne inteligencije na okidač pull_request. Pregledajte sve tijekove rada koristeći pull_request_target s tajnim pristupom za integracije AI agenata |
|
5. Izvršenje koda okvira agenta |
Microsoft MSRC (7. svibnja) |
Semantic Kernel Python SDK je preusmjerio polja filtera vektorske pohrane u eval(). .NET SDK izložio je pisanje datoteka hosta kao funkciju jezgre koja se može pozvati |
Aplikacijski vatrozidi provjeravaju unose. Oni ne provjeravaju kako okvir za orkestraciju interno raščlanjuje ta korisna opterećenja |
Ažurirajte Semantic Kernel Python SDK na 1.39.4 i .NET SDK na 1.71.0. Pregledajte sve agentske okvire za funkcije označene kao model-pozive koje pristupaju datotečnom sustavu ili ljusci |
|
6. Izloženost IDE pohrane vjerodajnica |
LayerX (travanj 2026.) |
Pokazivač pohranjuje API ključeve i tokene sesije u nezaštićenu pohranu kojoj može pristupiti bilo koje instalirano proširenje preglednika |
DLP prati podatke u prijenosu. Vjerodajnice pokazivača u mirovanju nevidljive su DLP-u jer se ne događa izlazni događaj dok ekstenzija ne eksfiltrira |
Provjerite alate za razvojne programere za prakse pohrane vjerodajnica. Zahtijeva zaštićenu pohranu (privjesak OS ključeva, šifrirane pohrane vjerodajnica) za sve konfiguracije alata za kodiranje AI |
|
7. Izlaganje podataka AI u sjeni |
Verizon 2026 DBIR (19. svibnja) |
67% zaposlenika pristupa AI uslugama s nekorporativnih računa na korporativnim uređajima. Izvorni kod je vodeća poslana vrsta podataka |
Politike CASB-a pokrivaju odobreni SaaS. Nekorporativni računi s umjetnom inteligencijom na korporativnim uređajima u potpunosti su izvan dosega CASB-a |
Implementirajte upravljanje umjetnom inteligencijom na razini preglednika koje nadzire upotrebu umjetne inteligencije izvan tvrtke na korporativnim uređajima. Popis proširenja preglednika AI u cijeloj organizaciji |
Akcijski plan direktora sigurnosti
Direktori sigurnosti možda će htjeti pokrenuti ovu mrežu u odnosu na trenutne ugovore dobavljača prije zatvaranja obnova u drugom kvartalu — pitati svakog dobavljača koju od sedam površina pokriva njihov proizvod i tretirati neodgovore kao mapu praznina.
Sve vjerodajnice dostupne s razvojnog stroja ili CI pokretača koji su instalirali pogođene npm pakete između 01:39 i 02:18 UTC 19. svibnja trebale bi se smatrati ugroženima. To uključuje GitHub PAT-ove, npm tokene, pristupne ključeve AWS-a, tokene računa usluge Kubernetes, tokene HashiCorp Vault, SSH ključeve i sadržaj trezora 1Password.
Integracije agenata za kodiranje AI-a koje se izvode u CI/CD cjevovodima s radnim procesima pull_request_target zaslužuju detaljan pregled. Svaka je površina za brzo ubrizgavanje koja obrađuje PR komentare kao upute agenta.
Timovi za nabavu koji procjenjuju alate za kodiranje AI trebali bi razmotriti dodavanje dimenzije otpornosti na ukradeni identitet procjenama dobavljača. Pitanje koje vrijedi postaviti: može li dobavljač pokazati kako njihov alat razlikuje legitimnu objavu održavatelja od napadača koji koristi kompromitirane vjerodajnice? Ako ne mogu, alat nije sloj provjere.
Lanac nabave alata za razvojne programere ima isti problem koji je IAM imao prije deset godina: vjerodajnice dokazuju tko tvrdite da jeste, a ne tko ste. IAM je imao 10-godišnju prednost u kompenzacijskim kontrolama prije nego što su grupe nacionalnih država krađu vjerodajnica pretvorile u industrijsku operaciju. Ekosustav alata za kodiranje AI sada pokreće taj sat.