บริษัทความปลอดภัย Socket ประกาศตรวจพบว่าแพ็กเกจซอฟต์แวร์ชื่อดังหลายตัวในระบบ npm และ PyPI โดนฝัง มัลแวร์กลุ่ม Mini Shai-Hulud ที่เคยอาละวาดช่วงปลายปี 2025 (ตั้งชื่อตามหนอนยักษ์ในเรื่อง Dune) และก่อนหน้านี้เพิ่งเคยเจาะแพ็กเกจ npm ตัวอื่นคือ SAP, Intercom กับแพ็กเกจ PyPI lightning เมื่อช่วงปลายเดือนเมษายน 2026

แพ็กเกจที่พบมัลแวร์ เป็นซอฟต์แวร์จากหลายบริษัท ดังนี้

• TanStack ชุดซอฟต์แวร์พัฒนาเว็บ (npm)
• UiPath (npm)
• Mistral (PyPi)
• Guardrails AI (PyPi)
• OpenSearch (npm)
• Squawk (npm)

การโจมตีครั้งนี้เป็น supply chain attack คือโดนเจาะเข้ามาระหว่างกระบวนการออกแพ็กเกจ โดย TanStack สอบสวนแล้วพบว่าเกิดขึ้นที่การเจาะ GitHub Actions ด้วยเทคนิค cache poisoning โดยที่ตัวบัญชี npm ของ TanStack ไม่ได้โดนเจาะไปด้วย

แพ็กเกจฝังมัลแวร์เหล่านี้ถูกตรวจจับได้ภายใน 20 นาที และ TanStack ได้เคลียร์ไฟล์มีปัญหาออก อัพเดตแพ็กเกจเป็นเวอร์ชันใหม่แล้ว

ที่มา - Socket, TanStack, The Register