Cybersecurity-onderzoekers hebben vier nieuwe npm-pakketten ontdekt die informatiestelende malware bevatten, waarvan er één een kloon is van de Shai-Hulud-worm, open source door TeamPCP.
De lijst met geïdentificeerde pakketten vindt u hieronder:
- krijt-sjabloon (825 Downloads)
- @deadcode09284814/axios-util (284 downloads)
- Axois-utils (963 downloads)
- kleurstijl-utils (934 downloads)
“Eén van de pakketten (chalk-tempalte) bevat een directe kloon van de Shai-Hulud-broncode die TeamPCP vorige week lekte, waarschijnlijk geïnspireerd als onderdeel van de supply chain-aanvalswedstrijd die niet lang daarna in BreachForums werd gepubliceerd”, zei Moshe Siman Tov Bustan van OX Security.
Interessant is dat de kwaadaardige payloads die in de vier npm-pakketten zijn ingebed verschillend zijn, ondanks dat ze zijn gepubliceerd door dezelfde npm-gebruiker, “deadcode09284814.” Op het moment van schrijven zijn de vier bibliotheken nog steeds beschikbaar om te downloaden via npm.
Uit een analyse van de pakketten is gebleken dat “axois-utils” is ontworpen om een op Golang gebaseerd gedistribueerd denial-of-service (DDoS) botnet te leveren, genaamd Phantom Bot, met mogelijkheden om een doelwebsite te overspoelen met behulp van HTTP-, TCP- en UDP-protocollen. Het zorgt ook voor persistentie op zowel Windows- als Linux-machines door de payload toe te voegen aan de Windows Opstartmap en een geplande taak te maken.
De overige drie droppen een stealer-lading op gecompromitteerde systemen. Van de drie pakketten bevat het “chalk-tempalte” -pakket een kloon van de Shai-Hulud-worm, uitgegeven door TeamPCP.
“De acteur nam de code over en uploadde vrijwel zonder enige verandering een werkende versie met zijn eigen C2-server en privésleutel naar npm”, aldus OX Security. “De gestolen inloggegevens worden naar de externe C2-server verzonden — 87e0bbc636999b.lhr(.)life”
Bovendien worden de gegevens via de API geëxporteerd naar een nieuwe openbare GitHub-repository met behulp van het gestolen GitHub-token. De repository krijgt de beschrijving “A Mini Sha1-Hulud has Appeared.”
De andere twee npm-pakketten, “@deadcode09284814/axios-util” en “color-style-utils”, hebben een eenvoudigere functionaliteit die SSH-sleutels, omgevingsvariabelen, cloudreferenties, systeeminformatie, IP-adres en cryptocurrency-portemonneegegevens overhevelt naar respectievelijk “80.200.28(.)28:2222” en “edcf8b03c84634.lhr(.)life”.
“Dreigingsactoren worden nog gemotiveerder om supply chain- en typefouten uit te voeren, omdat aanvallen gemakkelijker uit te voeren zijn nu de Shai-Hulud-code open source wordt”, aldus OX Security. “We zien nu dat één actor met meerdere technieken en infostealer-types kwaadaardige code verspreidt naar npm, omdat dit nog maar de eerste fase is van een komende golf van supply chain-aanvallen.”
Gebruikers die de pakketten hebben gedownload, moeten ze onmiddellijk verwijderen, kwaadaardige configuraties van IDE’s en codeeragenten zoals Claude Code vinden en verwijderen, geheimen roteren, controleren op GitHub-opslagplaatsen die de string “A Mini Sha1-Hulud has Appeared” bevatten, en netwerktoegang tot verdachte domeinen blokkeren.
