快链头条 消息，6 月 12 日，据慢雾披露，发现 Shai-Hulud Hades 新变种正在攻击 PyPI。恶意包会投放 .pth 文件，在 Python 启动时自动执行，并检测本地是否安装 Bun；若未安装，则从 GitHub Releases 下载官方 Bun 二进制文件，再执行多层混淆 JavaScript 载荷，用于窃取 GitHub、npm、AWS 及云服务凭证。

慢雾称，该变种与此前 Shai-Hulud 攻击使用相同 RSA 公钥和基础设施，并具备加密外传、持久化、CI/CD 注入及 GitHub Actions 注入等能力。