A korábban már bemutatott Shai-Hulud ellátásilánc-támadási kampány újabb, jóval kiterjedtebb kompromittálási hullámmá nőtte ki magát. Az Aikido kutatói 373 rosszindulatú package-verziót azonosítottak 169 különböző npm-csomagnév alatt, miközben a támadás továbbra is fejlesztői munkaállomások és CI/CD-környezetek hitelesítő adatait célozza. A TanStack továbbra is a legnagyobb mértékben érintett csomagcsoportok közé tartozik, ugyanakkor az újonnan feltárt kör már számos további scope-ot, valamint nem scope-olt csomagot is érint. A kártevő GitHub, npm, AWS, Kubernetes, Vault és CI/CD-titkos adatok megszerzésére törekszik, majd az ellopott hozzáférésekkel további csomagokat kompromittálhat, így
a támadás nem egyszerű infostealerként, hanem önterjesztő ellátásilánc-fenyegetésként működik.
A kampány súlyát jelzi, hogy a Red Hat is több tucat fertőzött szoftvercsomagot távolított el, miután egy kompromittált GitHub-fiókon keresztül hitelesítő adatok ellopására alkalmas kártevőt juttattak el fejlesztőkhöz. A vállalat előzetes vizsgálata szerint 32 érintett csomag került a támadók célkeresztjébe, amelyeket hetente mintegy 117 ezer alkalommal töltöttek le. A támadás a Mini Shai-Hulud féreg módosított változatára épült, amely npm és PyPI-csomagokat, valamint GitHub-tokeneket célzott. A Tenable kutatói szerint a Miasma néven terjesztett változat csak kisebb módosításokat tartalmazott, miközben a hitelesítő adatok ellopására szolgáló funkciók változatlanok maradtak. A CISA korábbi figyelmeztetéseivel összhangban az érintett szervezetek számára továbbra is kiemelten fontos a fejlesztői hitelesítő adatok cseréje és a kompromittált rendszerek átvizsgálása.
A Socket Threat Research újabb ehhez kapcsolódó kompromittálást azonosított a Miasma Mini Shai-Hulud kampányban, ezúttal az @immobiliarelabs npm-scope alatt publikált legitim Backstage-bővítményeknél. A 2026. június 26-án megjelent rosszindulatú verziók több GitLab-integrációhoz és LDAP-hitelesítéshez használt csomagot érintettek, ami különösen kockázatos, mivel a Backstage-et gyakran belső fejlesztői portálként, CI/CD-folyamatok, szolgáltatáskatalógusok és hitelesítési adatok kezelésére használják. A vizsgálat szerint a kártevő rejtett index.js fájlon keresztül aktiválódott, és olyan technikákat is alkalmazott, mint a binding.gyp-alapú „Phantom Gyp”, a Bun futtatókörnyezet használata és a GitHub Actions munkafolyamatokkal való visszaélés. A Shai-Hulud/Miasma kampány továbbra sem elszigetelt incidensekből áll, hanem
a fejlesztői infrastruktúrát, release-automatizálást és CI/CD-környezeteket célzó folyamatos ellátásilánc-fenyegetésként értékelhető.
