Вторая волна атаки на цепочку поставок Shai-Hulud распространилась на экосистему Maven после компрометации более 830 пакетов в реестре npm. Команда Socket Research обнаружила пакет Maven Central с названием org.mvnpm:posthog-node:4.18.1, который содержит те же два компонента, связанные с Sha1-Hulud: загрузчик "setup_bun.js" и основную полезную нагрузку "bun_environment.js".

Прочитайте полную статью на thehackernews.com