Shai-Hulud-malwarekampanjen vokser igjen etter at forskere oppdaget hundrevis av kompromitterte npm- og PyPI-pakker knyttet til den stadig større supply chain-operasjonen. Sikkerhetsanalytikere advarer om at skadevaren retter seg mot utviklerpålogginger, CI/CD-miljøer, GitHub-tokens og skyinfrastruktur knyttet til store programvareøkosystemer.
Den siste aktiviteten påvirket angivelig pakker koblet til TanStack, Mistral AI, OpenSearch og Guardrails AI. Forskere beskriver nå operasjonen som et av de største pågående supply chain-angrepene mot open source-utviklingsplattformer.
Angripere Kompromitterte Hundrevis av Pakker
Forskere oppdaget skadelig kode skjult i hundrevis av npm- og PyPI-pakker distribuert gjennom pålitelige programvarelagre. Sikkerhetsteam opplyste at de infiserte pakkene forsøkte å stjele sensitive opplysninger fra lokale utviklingsmiljøer og automatiserte distribusjonssystemer.
Shai-Hulud-malware fokuserte spesielt på GitHub-tokens, API-nøkler for skytjenester, autentiseringshemmeligheter og CI/CD-legitimasjon. Etterforskere fant også varianter som kunne laste ned ekstra skadevare etter den første infeksjonen.
Ifølge forskere bidro flere kompromitterte pakker knyttet til TanStack og Mistral AI til å spre malware gjennom utviklingsøkosystemer. Den skadelige koden kjørte angivelig automatisk under installasjon eller import av pakker i Linux-miljøer.
Sikkerhetsanalytikere forklarte at angrepet spredte seg raskt fordi mange utviklere stoler på open source-pakker uten å kontrollere avhengighetskjeder grundig. Etter installasjon samlet malware stille inn legitimasjon før informasjonen ble sendt til angriperkontrollert infrastruktur.
Shai-Hulud-Malware Fortsetter Å Utvikle Seg
Forskere koblet den siste hendelsen til tidligere Shai-Hulud-kampanjer oppdaget i 2025. Tidligere bølger infiserte hundrevis av npm-pakker og spredte seg mellom lagre ved hjelp av stjålne utviklerkontoer.
Etterforskere beskrev tidligere operasjonen som en av de farligste kompromitteringene av npm sin supply chain til dags dato. Tidligere infeksjoner påvirket angivelig tusenvis av GitHub-lagre knyttet til store utviklingsprosjekter og skytjenester.
De nyeste variantene virker mer aggressive og mer fleksible enn tidligere versjoner. Enkelte inneholdt angivelig destruktive funksjoner som kunne slette filer eller skade lokale miljøer etter at malware hadde stjålet legitimasjon.
Forskere advarte også om at kampanjen fortsetter å utvikle seg gjennom nye pakkeopplastinger og modifiserte payloads. Sikkerhetsteam tror flere infiserte pakker fortsatt kan være aktive i offentlige lagre.
Utviklere Møter Økende Supply Chain-Trusler
Shai-Hulud-kampanjen viser de voksende risikoene rundt moderne programvarebaserte supply chain-angrep. Open source-økosystemer er sterkt avhengige av tredjepartsavhengigheter, noe som gir angripere mulighet til å spre skadelig kode raskt gjennom pålitelige miljøer.
Forskere oppfordret utviklere til å gjennomgå avhengigheter umiddelbart og rotere potensielt eksponert legitimasjon. Sikkerhetsteam anbefalte også at organisasjoner kontrollerer CI/CD-systemer for mistenkelig aktivitet og begrenser automatiske oppdateringer av avhengigheter til miljøene er bekreftet sikre.
Multifaktorautentisering for kontoer som publiserer pakker har også blitt stadig viktigere. Angripere bruker ofte stjålne utviklerkontoer til å publisere skadelige oppdateringer i legitime lagre.
Hendelsen viser også hvorfor AI- og skybaserte utviklingsplattformer har blitt attraktive mål for cyberkriminelle. Én kompromittert pakke kan gi tilgang til tusenvis av nedstrømsprosjekter og produksjonssystemer.
Konklusjon
Shai-Hulud-operasjonen fortsetter å spre seg gjennom npm- og PyPI-økosystemene og skaper alvorlige risikoer for utviklere og organisasjoner verden over. Ved å kompromittere pålitelige pakker fikk angripere mulighet til å stjele legitimasjon, infiltrere skysystemer og spre skadelig kode gjennom mye brukte utviklingsmiljøer.
Forskere forventer at kampanjen fortsetter å utvikle seg etter hvert som etterforskere oppdager flere infiserte pakker. Den siste hendelsen understreker behovet for bedre kontroll av avhengigheter, sterkere beskyttelse av legitimasjon og strengere sikkerhetsrutiner rundt moderne programvarebaserte supply chains.
0 responses to “Shai-Hulud Malware Kompromitterer Hundrevis av npm-Pakker”