Shai-Hulud-malwarekampagnen vokser igen, efter at forskere har opdaget hundredvis af kompromitterede npm- og PyPI-pakker knyttet til den voksende supply chain-operation. Sikkerhedsanalytikere advarer om, at malware målretter udvikleroplysninger, CI/CD-miljøer, GitHub-tokens og cloudinfrastruktur forbundet til store softwareøkosystemer.
Den seneste aktivitet påvirkede angiveligt pakker knyttet til TanStack, Mistral AI, OpenSearch og Guardrails AI. Forskere beskriver nu operationen som et af de største igangværende supply chain-angreb mod open source-udviklingsplatforme.
Angribere Kompromitterede Hundredvis af Pakker
Forskere opdagede skadelig kode skjult i hundredvis af npm- og PyPI-pakker distribueret gennem betroede softwarelagre. Sikkerhedsteams oplyste, at de inficerede pakker forsøgte at stjæle følsomme oplysninger fra lokale udviklingsmiljøer og automatiserede deploymentsystemer.
Shai-Hulud-malware fokuserede især på GitHub-tokens, cloud-API-nøgler, autentificeringshemmeligheder og CI/CD-legitimationsoplysninger. Efterforskere fandt også varianter, som kunne hente yderligere payloads efter den første infektion.
Ifølge forskere hjalp flere kompromitterede pakker knyttet til TanStack og Mistral AI med at sprede malware gennem udviklingsøkosystemer. Den skadelige kode kørte angiveligt automatisk under installation eller import af pakker på Linux-systemer.
Sikkerhedsanalytikere forklarede, at angrebet spredte sig hurtigt, fordi mange udviklere stoler på open source-pakker uden at gennemgå afhængighedskæder grundigt. Efter installation indsamlede malware diskret legitimationsoplysninger, før informationen blev sendt til angriberkontrolleret infrastruktur.
Shai-Hulud-Malware Fortsætter Med At Udvikle Sig
Forskere koblede den seneste hændelse til tidligere Shai-Hulud-kampagner opdaget i løbet af 2025. Tidligere bølger inficerede hundredvis af npm-pakker og spredte sig mellem repositories ved hjælp af stjålne udviklerkonti.
Efterforskere beskrev tidligere operationen som en af de farligste kompromitteringer af npm’s supply chain til dato. Tidligere infektioner påvirkede angiveligt tusindvis af GitHub-repositories knyttet til store udviklingsprojekter og cloudtjenester.
De nyeste varianter virker mere aggressive og mere fleksible end tidligere versioner. Nogle indeholdt angiveligt destruktive funktioner, som kunne slette filer eller beskadige lokale miljøer efter tyveri af legitimationsoplysninger.
Forskere advarede også om, at kampagnen fortsætter med at udvikle sig gennem nye pakkeuploads og modificerede payloads. Sikkerhedsteams mener, at flere inficerede pakker stadig kan være aktive i offentlige repositories.
Udviklere Møder Voksende Supply Chain-Trusler
Shai-Hulud-kampagnen viser de voksende risici omkring moderne softwarebaserede supply chain-angreb. Open source-økosystemer er stærkt afhængige af tredjepartsafhængigheder, hvilket giver angribere mulighed for hurtigt at sprede skadelig kode gennem betroede miljøer.
Forskere opfordrede udviklere til straks at gennemgå afhængigheder og rotere potentielt eksponerede legitimationsoplysninger. Sikkerhedsteams anbefalede også, at organisationer undersøger CI/CD-systemer for mistænkelig aktivitet og begrænser automatiske opdateringer af afhængigheder, indtil miljøerne er verificeret som sikre.
Multifaktorautentificering til konti, der publicerer pakker, er også blevet stadig vigtigere. Angribere bruger ofte stjålne udviklerkonti til at publicere skadelige opdateringer i legitime repositories.
Hændelsen viser også, hvorfor AI- og cloudbaserede udviklingsplatforme er blevet attraktive mål for cyberkriminelle. Én kompromitteret pakke kan give adgang til tusindvis af downstream-projekter og produktionssystemer.
Konklusion
Shai-Hulud-operationen fortsætter med at sprede sig gennem npm- og PyPI-økosystemerne og skaber alvorlige risici for udviklere og organisationer verden over. Ved at kompromittere betroede pakker fik angribere mulighed for at stjæle legitimationsoplysninger, infiltrere cloudsystemer og sprede skadelig kode gennem bredt anvendte udviklingsmiljøer.
Forskere forventer, at kampagnen fortsætter med at udvikle sig, efterhånden som efterforskere opdager flere inficerede pakker. Den seneste hændelse understreger behovet for bedre kontrol af afhængigheder, stærkere beskyttelse af legitimationsoplysninger og skærpede sikkerhedsprocedurer omkring moderne softwarebaserede supply chains.
0 svar til “Shai-Hulud Malware Kompromitterer Hundredvis af npm-Pakker”