Gevolgen Shai-Hulud 2.0-worm groter dan gedacht, NPM onder druk

woensdag, 3 december 2025 (10:55) - Techzine

In dit artikel:

Het NPM-ecosysteem is opnieuw doelwit geworden van een omvangrijke supply-chainaanval, waarbij de recent ontdekte Shai‑Hulud 2.0-campagne zich nadrukkelijk op datadiefstal richtte in plaats van alleen grootschalige pakketbesmetting. Onderzoek van cloudbeveiliger Wiz leidde tot de ontdekking dat tienduizenden GitHub-repositories met gelekte gegevens openbaar zijn gekomen en dat ongeveer 400.000 ruwe secrets — van toegangstokens tot CI- en configuratiegegevens — zijn buitgemaakt. Een aanzienlijk deel van de gestolen NPM-tokens bleek bij ontdekking nog steeds geldig, wat directe risico’s op vervolgcompromitteringen oplevert.

De besmetting verspreidde zich via honderden geïnfecteerde pakketversies. Kwaadwillende code werd meestal geactiveerd tijdens het npm preinstall-event; een script met de naam setup_bun.js verzamelde tokens, injecteerde extra code en publiceerde pakketten opnieuw onder accounts van slachtoffers. Een relatief klein aantal pakketten veroorzaakte veel van de besmettingen, waardoor de campagne snel kon opschalen.

Wiz merkt tevens op dat de nieuwe variant een destructieve payload bevat die onder bepaalde omstandigheden de volledige homedirectory van een slachtoffer kan verwijderen — een aanwijzing dat supply-chainmalware evolueert van louter spionage naar ook schadelijke sabotage. Veel geïnfecteerde omgevingen betroffen Linux-containers binnen automatiseringsketens, met GitHub Actions als de meest voorkomende vector, gevolgd door Jenkins, GitLab CI en AWS CodeBuild. De gelekte repositories bevatten snapshots, systeeminformatie, scanresultaten en workflowsecrets; ondanks veel ruis zaten er honderden direct bruikbare credentials tussen.

De bevindingen illustreren dat een pakketinfectie snel kan uitgroeien tot een aanval op de volledige ontwikkelketen. Onderzoekers verwachten dat de aanvallers hun technieken verder zullen verfijnen en waarschuwen organisaties die op NPM en CI-platformen vertrouwen om hun tokenbeheer en beveiligingsmaatregelen te herzien. Praktische tegenmaatregelen zijn onder meer rotatie en beperkte scope van tokens, gebruik van geheime managers en least-privilege policies, strengere controle van afhankelijkheden en monitoring van publicatie-activiteiten.