Експерти з безпеки ланцюгів постачання з компанії OX Security виявили у публічному репозиторії JavaScript-бібліотек npm чотири шкідливі пакети, які містили приховані інструменти для компрометації систем розробників. Один із виявлених пакетів під назвою axois-utils містив скомпілований на мові Golang шкідливий інструмент Phantom Bot, призначений для організації розподілених атак на відмову в обслуговуванні. Цей ботнет здатний генерувати масові потоки фіктивного трафіку через протоколи HTTP, TCP та UDP для блокування цільових вебсайтів. Програма налаштовує механізми закріплення в системі як на базі Windows, так і на Linux. Інші три пакети, серед яких chalk-tempalte, color-style-utils та @deadcode09284814/axios-util, були завантажені сумарно понад 2500 разів до моменту їхнього блокування адміністрацією платформи.

Особливістю пакета chalk-tempalte стало те, що він містив пряму та майже незмінену копію вихідного коду хробака Shai-Hulud, який минулого тижня був оприлюднений хакерським угрупованням TeamPCP у відкритому доступі. Невідомий зловмисник повністю скопіював логіку роботи шкідливої програми, інтегрував у неї власний приватний криптографічний ключ та адресу сервера керування, після чого опублікував у репозиторії під виглядом легітимної бібліотеки. Аналітики пов’язують цю активність із конкурсом на проведення найкращих атак на ланцюги постачання, який нещодавно був оголошений на хакерському форумі BreachForums. Шкідливі компоненти були націлені на автоматичне сканування локальних середовищ розробки, включаючи Claude Code, з метою викрадення інтегрованих ключів доступу до хмарних сервісів та приватних репозиторіїв GitHub.