Kembalinya Mini Shai-Hulud: serangan rantai pasok yang menyebar sendiri menghantam ekosistem npm (5/11)

Ikhtisar

Ini adalah insiden di mana worm Mini Shai-Hulud secara aktif menginfeksi paket-paket npm yang sah dengan membajak pipeline CI/CD dan mencuri secret (informasi rahasia) milik pengembang. OSS Package Security Feed dari StepSecurity pertama kali mendeteksi serangan ini pada paket resmi @tanstack, dan kini melacak penyebarannya ke seluruh ekosistem secara real-time.

Waktu kejadian dan skala

Sekitar pukul 19:20 UTC pada 11 Mei 2026, 10 versi berbahaya dari paket resmi @tanstack/* dipublikasikan ke registri npm dalam waktu kurang dari 6 menit. Paket-paket tersebut merupakan komponen inti dari framework TanStack Router yang digunakan di ratusan ribu proyek React.

Payload berbahaya

Payload pencuri kredensial yang diobfusksi berukuran 2,3MB disuntikkan dan dirancang untuk mengumpulkan token GitHub, token npm, serta secret CI/CD.

Ancaman utama — mekanisme penyebaran mandiri

Worm Shai-Hulud tidak perlu menyusup langsung ke repositori; ia menumpang pada proses build yang sah dan menggunakan token pengguna untuk menyebarkan dirinya sendiri. Artinya, bahkan paket yang memiliki SLSA provenance, publishing berbasis OIDC, dan pipeline CI/CD tepercaya pun dapat dipersenjatai, dan itulah implikasi utama dari serangan ini.

Risiko infeksi berantai

Struktur ekosistem npm yang saling terhubung menjadi media penyebaran yang ideal, dan ketika satu token berhasil dikompromikan, infeksi berantai ke puluhan paket dapat terjadi dalam hitungan menit — pada kasus ini pun, 10 versi berbahaya didistribusikan ke 5 paket dalam waktu kurang dari 6 menit.