npm har återställt plattformstoken efter en storskalig supply chain-attack kopplad till Shai-Hulud-kampanjen. Attackerna komprometterade hundratals npm-paket och påverkade mjukvara kopplad till moderna utvecklingsmiljöer och CI/CD-arbetsflöden.
Säkerhetsforskare varnade för att kampanjen fortsätter att spridas genom stulna autentiseringsuppgifter och automatiserade system för paketpublicering. Händelsen har blivit en av de största attackerna mot npm-ekosystemet på senare tid.
npm återkallar token efter attackerna
npm bekräftade att plattformen ogiltigförklarade granular access-token med skrivbehörighet som kunde kringgå tvåfaktorsautentisering. Utvecklare som använder automatiserade deploymentsystem måste nu ersätta lagrade autentiseringsuppgifter och uppdatera berörda arbetsflöden.
Plattformen uppgav att beslutet ska minska risken för ytterligare supply chain-attacker kopplade till Shai-Hulud-kampanjen. Samtidigt varnade forskare för att skadeprogrammet fortfarande stjäl nya autentiseringsuppgifter från infekterade miljöer.
npm avvecklade tidigare sina äldre klassiska token efter andra säkerhetsincidenter som visade riskerna med långlivade autentiseringsuppgifter och obegränsad åtkomst. Företaget ersatte dem med granular token som löper ut efter maximalt 90 dagar och stöder starkare säkerhetskontroller.
Trots förändringarna använder många CI/CD-system fortfarande automatiserade token som kringgår krav på tvåfaktorsautentisering. Angriparna riktade in sig kraftigt på just dessa autentiseringsuppgifter under den senaste kampanjen.
Shai-Hulud fortsätter att spridas
Forskare beskriver Shai-Hulud som ett självförökande skadeprogram som kan stjäla npm-uppgifter och automatiskt publicera skadliga paketuppdateringar. När angripare komprometterar en utvecklingsmiljö eller deploymentskedja kan skadeprogrammet snabbt sprida infekterade paket genom anslutna ekosystem.
Den senaste kampanjen komprometterade enligt rapporter hundratals paket kopplade till Alibabas @antv-ekosystem tillsammans med flera populära fristående npm-bibliotek. Många av paketen laddas ned miljontals gånger varje vecka inom moderna JavaScript-miljöer.
Forskare kopplade också tidigare Shai-Hulud-aktivitet till attacker mot TanStack och andra open source-ekosystem. Kampanjen fortsätter att rikta in sig på utvecklarinfrastruktur, paketrepositories och automatiserade publiceringssystem.
Säkerhetsforskare kopplade operationen till TeamPCP, en ekonomiskt motiverad hotgrupp som blev allt mer aktiv under slutet av 2025. Rapporter hävdar att gruppen uppmuntrade fler attacker med samma skadeprogram och stulna autentiseringsuppgifter.
npm vill öka användningen av Trusted Publishing
Efter attackerna uppmanar npm utvecklare att gå över till Trusted Publishing istället för manuellt lagrade autentiseringstoken. Systemet använder OpenID Connect för att automatiskt skapa kortlivade autentiseringsuppgifter genom betrodda tjänster som GitHub.
Lösningen minskar riskerna kopplade till långlivade token som lagras i CI/CD-system och deploymentskedjor. Samtidigt varnade forskare för att Trusted Publishing inte helt eliminerar riskerna kring komprometterade utvecklarkonton eller infekterade automatiseringsmiljöer.
Rapporter visar också att angripare tidigare utnyttjade OIDC-baserade Trusted Publishing-flöden under andra supply chain-incidenter. Det visar hur hotaktörer fortsätter att anpassa sig till nya säkerhetskontroller inom mjukvaruutveckling.
Supply chain-hot fortsätter växa
Shai-Hulud-kampanjen visar hur snabbt supply chain-attacker mot open source-infrastruktur växer. Angripare fokuserar allt mer på paketekosystem, deploymentskedjor, molnuppgifter och utvecklararbetsflöden eftersom de ger bred åtkomst till nedströmsmiljöer.
Säkerhetsforskare varnade för att självförökande skadeprogram kan bli ännu mer störande när automatisering sprids vidare inom mjukvaruutveckling. När skadliga paket väl når betrodda ekosystem kan angripare snabbt sprida skadeprogram till tusentals beroende system.
npm:s återställning av token visar också hur svårt det har blivit att helt stoppa moderna supply chain-attacker efter att autentiseringsuppgifter och automatiserade system komprometterats.
Slutsats
Shai-Hulud-kampanjen tvingade npm att ogiltigförklara plattformstoken efter att angripare komprometterat hundratals paket i ekosystemet. Forskare varnade för att attackerna fortfarande sprids genom stulna autentiseringsuppgifter, CI/CD-system och automatiserade publiceringsflöden.
Händelsen visar också den växande faran med supply chain-attacker mot open source-infrastruktur. När angripare automatiserar dessa operationer ökar pressen på organisationer att stärka säkerheten kring autentiseringsuppgifter och minska beroendet av långlivade token.


0 svar till ”Shai-Hulud-skadlig kod tvingar npm att återställa token”