В конце прошлой недели исследователи обнаружили новую волну атак малвари семейства Shai‑Hulud, Miasma и Hades, начавшуюся 24 июня 2026 г. после компрометации npm‑аккаунта мейнтейнера LeoPlatform (czirker). Хакеры опубликовали заражённые версии 20 пакетов в экосистемах LeoPlatform и RStreams, а также внедрили код в Go‑модуль проекта Verana, используя файл binding.gyp и загрузку Bun вместо Node.js. Вредонос крадёт облачные токены, секреты CI/CD и данные IDE, шифрует их и выгружает в публичные репозитории GitHub, после чего пытается распространяться дальше, используя полученные токены. По данным Socket, StepSecurity, JFrog и SafeDep, атака затронула пакеты leo‑auth, leo‑aws, leo‑cli, leo‑sdk, leo‑streams, serverless‑leo, rstreams‑metrics и другие, а также могла задействовать GitHub Action codfish/semantic-release-action.