In de npm Registry zijn honderden besmette packages aangetroffen met malware die allerlei gevoelige data van systemen steelt en andere npm-packages probeert te infecteren, zo stelt securitybedrijf HelixGuard. Volgens de onderzoekers lijkt de aanval op een aanval die afgelopen september plaatsvond en waarbij meer dan vijfhonderd packages werden geïnfecteerd door malware genaamd "Shai-Hulud".

Bij de nieuwe aanval zijn meer dan driehonderd packages besmet geraakt, aldus de onderzoekers. Wanneer ontwikkelaars een besmette package op hun systeem uitvoeren wordt de malware actief. Die gebruikt de software TruffleHog om op de lokale machine naar gevoelige informatie te zoeken, zoals NPM-tokens, AWS/GCP/Azure credentials en omgevingsvariabelen. Met de gestolen tokens kan de malware weer andere npm-packages infecteren.

De gevoelige informatie wordt naar de aanvallers teruggestuurd door middel van een GitHub Action runner met de naam "SHA1HULUD", wat volgens de onderzoekers een verwijzing naar de aanval van september lijkt. Er is ook een overzicht van gecompromitteerde npm-packages gepubliceerd. Op Hacker News laat een getroffen ontwikkelaar weten dat meerdere van zijn packages besmet zijn geraakt.