Die im September erstmals entdeckte, wurmartige Malware Shai Hulud sorgt erneut für weitreichende Störungen im Javascript-Ökosystem. Sicherheitsforscher des Security-Unternehmens Socket berichten von mehr als 700 kompromittierten Paketversionen über mindestens 500 npm-Pakete hinweg, darunter weit verbreitete Tools wie Zapier, ENS Domains, Posthog und Postman.

Die Angreifer nutzten kompromittierte Maintainer-Konten, um legitime Pakete zu kopieren, zu manipulieren und als neue Versionen hochzuladen. In vielen Fällen tauchten Warnmeldungen im npm-Registry auf, die auf unautorisierte Veröffentlichungen hinweisen.

Sämtliche betroffene Pakete enthalten ein manipuliertes Preinstall-Skript, das die Javascript-Runtime Bun nachlädt und einen zweiten, stark verschleierten Payload ausführt. Analysen von Step Security zeigen, dass zum einen Github-, npm- und Cloud-Tokens (AWS, Azure, GCP) automatisch ausgelesen werden. Zum anderen werden weitere lokale Daten wie Cookies und Systeminformationen gesammelt und gefundene Geheimnisse über automatisch erstellte Github-Repositories exfiltriert.

Die Bedrohung habe sich innert weniger Stunden vervielfacht. Der Security-Anbieter Wiz identifizierte eigenen Angaben zufolge über 25'000 Github-Repositories, die zur Exfiltration missbraucht wurden. Demnach wurden rund 500 kompromittierte Github-Konten zur Anlage neuer Repositories verwendet.

Laut Wiz verwenden rund 27% der gescannten Cloud- und Code-Umgebungen mindestens ein kompromittiertes npm-Paket. Einige Pakete, darunter solche von Postman und Zapier, seien inzwischen bereinigt worden. Auch npm habe kompromittierte Versionen entfernt.