NPM opnieuw getroffen door Shai-Hulud worm-aanval

In dit artikel:

Het NPM-ecosysteem is opnieuw doelwit van een grootschalige malwarecampagne: enkele maanden na de eerste Shai‑Hulud‑worm uit september heeft onderzoek van JFrog aanvullende besmette versies aangetroffen, wat het totaal inmiddels boven de 1000 gecompromitteerde pakketversies brengt. De aanval is een self‑propagating worm die ontwikkelaars’ secrets rooft, deze publiceert in openbare GitHub‑repositories en zich vervolgens herverpakt in andere NPM‑pakketten van dezelfde gebruiker.

De nieuwe variant, door de aanvallers zelf “Sha1‑Hulud: The Second Coming” genoemd, gebruikt een andere payloadbestandsnaam (bun_environment.js in plaats van bundle.js) en creëert willekeurige repository‑namen om detectie te bemoeilijken. Gestolen toegangstokens betreffen onder meer GitHub, NPM, AWS, GCP en Azure; daarnaast worden alle credentials meegenomen die TruffleHog kan opsporen.

Wat te doen als ontwikkelaar of org:
- Reset onmiddellijk alle toegangstokens die op een besmette machine aanwezig waren (bij de genoemde cloud‑ en codeplatforms en andere services die TruffleHog detecteert).
- Controleer GitHub‑accounts op nieuw aangemaakte repositories met willekeurige namen; geüploade bestanden kunnen o.a. contents.json, environment.json, cloud.json, actionsSecrets.json en truffleSecrets.json heten.
- Controleer NPM‑accounts op ongebruikelijke nieuwe versies met een postinstall‑script dat “node setup_bun.js.js” uitvoert en verwijder direct gevonden malafide versies.

Bescherming en mitigatie:
- JFrog‑klanten van Xray en Curation zijn volgens JFrog beschermd: de malafide pakketten zijn als malware gemarkeerd. Het inschakelen van Compliant Version Selection en de “Package version is immature”‑policy wordt aangeraden om automatisch veilige versies te serveren en zeer nieuwe (mogelijke) trojaanse updates te blokkeren.
- Algemeen: beperk en roteer credentials, gebruik korte‑levensduur tokens en least‑privilege, vermijd het lokaal bewaren van secrets, en scan dependencies actief op kwaadaardige wijzigingen.

De aanval illustreert opnieuw de risico’s van software‑supply‑chainaanvallen in het Node/NPM‑landschap: eenmaal een ontwikkelaarsomgeving is gecompromitteerd, kan malware zich automatisch verspreiden via de afhankelijkhedenketen en grote hoeveelheden gevoelige tokens en configuraties blootleggen.