Shai-Hulud โจมตี PyPI สายวิทยาศาสตร์ — เจาะ 19 แพ็กเกจ bioinformatics ขโมยความลับนักพัฒนาผ่าน .pth ทริกเกอร์ Bun runtime

บริษัท Socket เผยแคมเปญใหม่ของ Shai-Hulud โจมตี PyPI เจาะ 19 แพ็กเกจสายชีวสารสนเทศ Dynamo Spateo CoolBox U-FISH และ Napari-UFISH ออก 37 รีลีสมุ่งร้ายจาก maintainer เดียว ใช้ไฟล์ .pth ที่ Python เปิดเองตอน start เพื่อโหลด Bun runtime จาก GitHub แล้วรัน _index.js ขโมย GitHub token ความลับ AWS GCP Azure SSH key Docker .env และ Claude/MCP configuration