Shai-Hulud-malwarekampanjen växer återigen efter att forskare upptäckt hundratals komprometterade npm- och PyPI-paket kopplade till den snabbt växande supply chain-operationen. Säkerhetsanalytiker varnar för att skadlig kod riktar in sig på utvecklaruppgifter, CI/CD-miljöer, GitHub-token och molninfrastruktur kopplad till stora mjukvaruekosystem.
Den senaste aktiviteten påverkade enligt uppgifter paket kopplade till TanStack, Mistral AI, OpenSearch och Guardrails AI. Forskare beskriver nu operationen som en av de största pågående supply chain-attackerna mot open source-plattformar för utveckling.
Angripare Komprometterade Hundratals Paket
Forskare upptäckte skadlig kod gömd i hundratals npm- och PyPI-paket som distribuerades via betrodda mjukvaruförråd. Säkerhetsteam uppgav att de infekterade paketen försökte stjäla känsliga uppgifter från lokala utvecklingsmiljöer och automatiserade distributionssystem.
Shai-Hulud-malware fokuserade främst på GitHub-token, API-nycklar för molntjänster, autentiseringshemligheter och CI/CD-uppgifter. Utredare hittade även varianter som kunde ladda ned ytterligare skadliga payloads efter den första infektionen.
Enligt forskare hjälpte flera komprometterade paket kopplade till TanStack och Mistral AI till att sprida malware genom utvecklingsekosystem. Den skadliga koden kördes enligt uppgifter automatiskt under installation eller import av paket i Linux-miljöer.
Säkerhetsanalytiker förklarade att attacken spreds snabbt eftersom många utvecklare litar på open source-paket utan att granska beroendekedjor ordentligt. När malware väl installerades samlade den tyst in uppgifter innan informationen skickades vidare till angriparkontrollerad infrastruktur.
Shai-Hulud-Malware Fortsätter Att Utvecklas
Forskare kopplade den senaste incidenten till tidigare Shai-Hulud-kampanjer som upptäcktes under 2025. Tidigare vågor infekterade hundratals npm-paket och spreds mellan förråd genom stulna utvecklaruppgifter.
Utredare beskrev tidigare operationen som en av de farligaste komprometteringarna av npm:s supply chain hittills. Tidigare infektioner påverkade enligt uppgifter tusentals GitHub-förråd kopplade till stora utvecklingsprojekt och molntjänster.
De senaste varianterna verkar mer aggressiva och mer flexibla än tidigare versioner. Vissa innehöll enligt uppgifter destruktiva funktioner som kunde radera filer eller skada lokala miljöer efter att malware stulit uppgifter.
Forskare varnade också för att kampanjen fortsätter utvecklas genom nya paketuppladdningar och modifierade payloads. Säkerhetsteam misstänker att fler infekterade paket fortfarande kan vara aktiva i publika förråd.
Utvecklare Möter Växande Supply Chain-Hot
Shai-Hulud-kampanjen visar de växande riskerna kring moderna mjukvarubaserade supply chain-attacker. Open source-ekosystem förlitar sig starkt på tredjepartsberoenden, vilket skapar möjligheter för angripare att snabbt sprida skadlig kod genom betrodda miljöer.
Forskare uppmanade utvecklare att omedelbart granska beroenden och rotera potentiellt exponerade uppgifter. Säkerhetsteam rekommenderade även att företag granskar CI/CD-system efter misstänkt aktivitet och begränsar automatiska uppdateringar av beroenden tills miljöerna verifierats som säkra.
Multifaktorautentisering för konton som publicerar paket har också blivit allt viktigare. Angripare använder ofta stulna utvecklaruppgifter för att publicera skadliga uppdateringar i legitima förråd.
Incidenten visar också varför AI- och molnbaserade utvecklingsplattformar blivit attraktiva mål för cyberkriminella. Ett enda komprometterat paket kan ge åtkomst till tusentals nedströmsprojekt och produktionssystem.
Slutsats
Shai-Hulud-operationen fortsätter att expandera över npm- och PyPI-ekosystemen och skapar allvarliga risker för utvecklare och organisationer världen över. Genom att kompromettera betrodda paket fick angripare möjlighet att stjäla uppgifter, infiltrera molnsystem och sprida skadlig kod genom brett använda utvecklingsmiljöer.
Forskare förväntar sig att kampanjen fortsätter utvecklas i takt med att utredare upptäcker fler infekterade paket. Den senaste incidenten förstärker behovet av bättre granskning av beroenden, starkare skydd för autentiseringsuppgifter och hårdare säkerhetsrutiner kring moderna mjukvarubaserade supply chains.
0 svar till ”Shai-Hulud Malware Komprometterar Hundratals npm-Paket”