Der Wurm "Shai Hulud" – benannt nach den Sandwürmern von Dune – breitet sich in den nächsten npm-Paketen aus. Es handelt sich um vier Pakete, die Teil von SAP Javascript und Cloud Application Programming (CAP) sind:

Das erste Paket dient zum Erstellen von Multi-Target-Application-Archiven für SAP-Cloud-Anwendungen. Die restlichen werden zur Verwaltung von Datenbanken mit SQLite verwendet.

Zwei Schwachstellen ermöglichten den Angriff, wie ein Cybersicherheitsforscher von Step Security berichtet. Die erste bezieht sich auf das Paket mbt, das ein statisches Token für automatisierte Prozesse verwendete. Dieses wurde in einem Kanal ergattert, der in den öffentlichen Repository-Daten nicht sichtbar ist. Die zweite Schwachstelle betrifft die CAP-Pakete. Angreifende kompromittierten das Github-Konto eines SAP-Entwicklers und veröffentlichten ein Update mit eingeschleustem Schadcode. Damit verschafften sie sich Zugriff zum npm-Token. Anschliessend löschten sie die Änderungen auf Github.

Der Wurm funktioniert grundsätzlich wie bei früheren Angriffen: Die npm-Pakete enthalten ein Preinstall-Skript, das einen Credential-Stealer ausführt. Dieser sammelt die npm-Token ein. Der Wurm verbreitet sich auf alle weiteren Pakete, die dieses Token verwenden. Die gestohlenen Zugangsdaten werden auf einem Github-Repository der Opfer mit der Beschreibung "A Mini Shai-Hulud has Appeared" veröffentlicht. So können kompromittierte Repositories gefunden werden.

Forschende von Step Security und Socket gehen davon aus, dass es sich in diesem Fall um Mitglieder von TeamPCP handelt. Die Angriffsmuster und der Code ähneln sich den Angriffen auf Namastex Labs und die Python Pakete von LiteLLM. Step Security hat das Entwicklerteam von SAP bereits alarmiert, das betroffene Pakete vom npm-Register entfernt hat. Offiziell hat SAP auf Fragen von 'Bleeping Computer' zum Vorfall noch nicht geantwortet.