Kort na 2.0 verschijnt Shai Hulud 3.0 als supply chain-gevaar

woensdag, 31 december 2026 (10:26) - Techzine

In dit artikel:

Beveiligingsbedrijf Aikido Security heeft in een npm-pakket (@vietmoney/react-big-calendar) een derde variatie van de JavaScript-malware Shai Hulud aangetroffen. De vondst wijst op een voortgaande campagne tegen de open source supply chain, maar er zijn bij ontdekking geen aanwijzingen voor grootschalige besmetting — wat suggereert dat de aanval vroegtijdig is onderschept.

Shai Hulud richt zich niet op eindgebruikers maar op ontwikkelaars: de kwaadaardige code wordt verborgen in npm-dependencies en bij installatie probeert die geheimen te verzamelen zoals omgevingsvariabelen, API-sleutels en andere cloud- en CI/CD-secrets. Geraapte gegevens worden automatisch gelekt naar door de aanvallers aangemaakte GitHub-repositories. De malware werd voor het eerst gesignaleerd in september; kort voor kerst rapporteerde detectiebedrijf Expel al een andere nieuwe variant, en nu is dus een derde variant gevonden.

De door Aikido bestudeerde variant — aangeduid als Shai Hulud 3.0 — toont technische verfijningen: de code is verder opgesplitst en geobfusceerd, robuuster in foutafhandeling bij het stelen van secrets en breder compatibel met verschillende JavaScript-runtimes, waaronder Windows-omgevingen die eerdere versies minder goed ondersteunden. Onderzoekers troffen ook een programmeerfout aan waarbij een bestand onder een andere naam wordt gedownload dan waarin het lokaal opgeslagen wordt, wat erop wijst dat de aanvallers experimenteel te werk gaan en nieuwe builds testen voordat zij een grootschalige operatie starten. Aikido meent bovendien dat de code niet simpelweg gekopieerd is maar herbouwd met toegang tot eerdere broncode, wat op dezelfde actor of groep duidt.

In tegenstelling tot eerdere varianten ontbreekt nu een ‘dead man switch’ — een mechanisme dat bij verstoring extra schade kan veroorzaken — maar experts waarschuwen dat de snelle evolutie van Shai Hulud benadrukt hoe aantrekkelijk de software supply chain is voor aanvallers. Het incident illustreert opnieuw de kwetsbaarheid van ontwikkelomgevingen: via vertrouwde dependencies kunnen kwaadwillenden perimeterbeveiliging omzeilen en direct bij waardevolle secrets komen. Aikido verwacht dat soortgelijke aanvallen blijven voorkomen zolang dependencybeheer en monitoring onvoldoende aandacht krijgen.