npm har tilbakestilt plattformtokens etter et omfattende supply chain-angrep knyttet til Shai-Hulud-kampanjen. Angrepene kompromitterte hundrevis av npm-pakker og påvirket programvare koblet til moderne utviklingsmiljøer og CI/CD-workflows.
Sikkerhetsforskere advarte om at kampanjen fortsatt sprer seg gjennom stjålne legitimasjonsopplysninger og automatiserte systemer for pakkeutgivelser. Hendelsen har blitt et av de største angrepene mot npm-økosystemet den siste tiden.
npm tilbakekaller tokens etter angrepene
npm bekreftet at plattformen ugyldiggjorde granulære tilgangstokens med skrivetilgang som kunne omgå tofaktorautentisering. Utviklere som bruker automatiserte deployeringssystemer må nå erstatte lagrede legitimasjonsopplysninger og oppdatere berørte workflows.
Plattformen opplyste at beslutningen skal redusere risikoen for flere supply chain-angrep knyttet til Shai-Hulud-kampanjen. Samtidig advarte forskere om at skadevaren fortsatt stjeler nye legitimasjonsopplysninger fra infiserte miljøer.
npm avviklet tidligere sine eldre klassiske tokens etter andre sikkerhetshendelser som viste risikoen ved langvarige legitimasjonsopplysninger med ubegrenset tilgang. Selskapet erstattet dem med granulære tokens som utløper etter maksimalt 90 dager og støtter sterkere sikkerhetskontroller.
Til tross for endringene bruker mange CI/CD-systemer fortsatt automatiserte tokens som omgår krav om tofaktorautentisering. Angriperne rettet seg spesielt mot disse legitimasjonsopplysningene under den siste kampanjen.
Shai-Hulud fortsetter å spre seg
Forskere beskriver Shai-Hulud som en selvspredende skadevare som kan stjele npm-legitimasjon og automatisk publisere ondsinnede pakkeoppdateringer. Når angripere kompromitterer et utviklingsmiljø eller en deployeringspipeline, kan skadevaren raskt spre infiserte pakker gjennom tilknyttede økosystemer.
Den siste kampanjen kompromitterte ifølge rapporter hundrevis av pakker knyttet til Alibabas @antv-økosystem sammen med flere populære, frittstående npm-biblioteker. Mange av pakkene lastes ned millioner av ganger hver uke i moderne JavaScript-miljøer.
Forskere koblet også tidligere Shai-Hulud-aktivitet til angrep mot TanStack og andre open source-økosystemer. Kampanjen fortsetter å målrette utviklerinfrastruktur, pakkerepositories og automatiserte publiseringssystemer.
Sikkerhetsforskere knyttet operasjonen til TeamPCP, en økonomisk motivert trusselgruppe som ble stadig mer aktiv mot slutten av 2025. Rapporter hevder at gruppen oppfordret til flere angrep med samme skadevare og stjålne legitimasjonsopplysninger.
npm ønsker mer bruk av Trusted Publishing
Etter angrepene oppfordrer npm utviklere til å gå over til Trusted Publishing i stedet for manuelt lagrede autentiseringstokens. Systemet bruker OpenID Connect til automatisk å opprette kortlivede legitimasjonsopplysninger gjennom betrodde tjenester som GitHub.
Løsningen reduserer risikoen knyttet til langvarige tokens lagret i CI/CD-systemer og deployeringspipelines. Samtidig advarte forskere om at Trusted Publishing ikke fullt ut eliminerer risikoen knyttet til kompromitterte utviklerkontoer eller infiserte automatiseringsmiljøer.
Rapporter viser også at angripere tidligere misbrukte OIDC-baserte Trusted Publishing-workflows under andre supply chain-hendelser. Det viser hvordan trusselaktører fortsetter å tilpasse seg nye sikkerhetskontroller innen programvareutvikling.
Supply chain-trusler fortsetter å vokse
Shai-Hulud-kampanjen viser hvor raskt supply chain-angrep mot open source-infrastruktur vokser. Angripere fokuserer stadig mer på pakkeøkosystemer, deployeringspipelines, skybaserte legitimasjonsopplysninger og utviklerworkflows fordi de gir bred tilgang til nedstrømsmiljøer.
Sikkerhetsforskere advarte om at selvspredende skadevare kan bli enda mer ødeleggende etter hvert som automatisering sprer seg videre i programvareutvikling. Når ondsinnede pakker først når betrodde økosystemer, kan angripere raskt spre skadevare til tusenvis av avhengige systemer.
npms tilbakestilling av tokens viser også hvor vanskelig det har blitt å fullt ut stoppe moderne supply chain-angrep etter at legitimasjonsopplysninger og automatiserte systemer blir kompromittert.
Konklusjon
Shai-Hulud-kampanjen tvang npm til å ugyldiggjøre plattformtokens etter at angripere kompromitterte hundrevis av pakker i økosystemet. Forskere advarte om at angrepene fortsatt sprer seg gjennom stjålne legitimasjonsopplysninger, CI/CD-systemer og automatiserte publiseringsworkflows.
Hendelsen viser også den voksende faren ved supply chain-angrep mot open source-infrastruktur. Etter hvert som angripere automatiserer disse operasjonene, øker presset på organisasjoner til å styrke sikkerheten rundt legitimasjonsopplysninger og redusere avhengigheten av langvarige tokens.
0 responses to “Shai-Hulud-malware tvinger npm til å tilbakestille tokens”