{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreicw5s245tvndov5tblfyxxaa65mtr6rdbxqnxg57whja53blz7p6u",
    "uri": "at://did:plc:46dtqwuc6bckm3ewbfuqlnxt/app.bsky.feed.post/3mlp7tumsxz32"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreiakuz3ot3qs5iiayszaccl3whgets2s5sqvdtsc2ufv5ckstmecte"
    },
    "mimeType": "image/jpeg",
    "size": 48797
  },
  "path": "/node/150510",
  "publishedAt": "2026-05-12T12:46:37.000Z",
  "site": "https://www.blognone.com",
  "tags": [
    "มัลแวร์กลุ่ม Mini Shai-Hulud ที่เคยอาละวาดช่วงปลายปี 2025",
    "TanStack",
    "Socket",
    "The Register",
    "mk"
  ],
  "textContent": "แพ็กเกจ npm และ PyPI หลายตัวถูกฝังมัลแวร์ Mini Shai-Hulud ผ่าน GitHub Actions\n\nBody\n\nบริษัทความปลอดภัย Socket ประกาศตรวจพบว่าแพ็กเกจซอฟต์แวร์ชื่อดังหลายตัวในระบบ npm และ PyPI โดนฝัง มัลแวร์กลุ่ม Mini Shai-Hulud ที่เคยอาละวาดช่วงปลายปี 2025 (ตั้งชื่อตามหนอนยักษ์ในเรื่อง Dune) และก่อนหน้านี้เพิ่งเคยเจาะแพ็กเกจ npm ตัวอื่นคือ SAP, Intercom กับแพ็กเกจ PyPI lightning เมื่อช่วงปลายเดือนเมษายน 2026\n\nแพ็กเกจที่พบมัลแวร์ เป็นซอฟต์แวร์จากหลายบริษัท ดังนี้\n\n  * TanStack ชุดซอฟต์แวร์พัฒนาเว็บ (npm)\n  * UiPath (npm)\n  * Mistral (PyPi)\n  * Guardrails AI (PyPi)\n  * OpenSearch (npm)\n  * Squawk (npm)\n\n\n\nการโจมตีครั้งนี้เป็น supply chain attack คือโดนเจาะเข้ามาระหว่างกระบวนการออกแพ็กเกจ โดย TanStack สอบสวนแล้วพบว่าเกิดขึ้นที่การเจาะ GitHub Actions ด้วยเทคนิค cache poisoning โดยที่ตัวบัญชี npm ของ TanStack ไม่ได้โดนเจาะไปด้วย\n\nแพ็กเกจฝังมัลแวร์เหล่านี้ถูกตรวจจับได้ภายใน 20 นาที และ TanStack ได้เคลียร์ไฟล์มีปัญหาออก อัพเดตแพ็กเกจเป็นเวอร์ชันใหม่แล้ว\n\nที่มา - Socket, TanStack, The Register\n\nmk Tue, 12/05/2026 - 19:46",
  "title": "แพ็กเกจ npm และ PyPI หลายตัวถูกฝังมัลแวร์ Mini Shai-Hulud ผ่าน GitHub Actions"
}