Onderzoekers hebben meerdere npm packages ontdekt die malware bevatten die tokens en wachtwoorden van ontwikkelaars steelt en zichzelf automatisch naar andere packages probeert te verspreiden. De malware is aangetroffen in packages van Namastex Labs, een bedrijf dat AI-gebaseerde "agentic solutions" biedt.

De malware verzamelt gevoelige data op het systeem van het slachtoffer, waaronder cryptowallets, API keys, SSH keys en inloggegevens voor cloudservices. Daarnaast steelt de malware ook opgeslagen wachtwoorden uit de (lokale) Chrome Login Database.

De malware bevat ook logica om npm-tokens en PyPi-credentials op het besmette systeem te vinden, packages te identificeren die de ontwikkelaar hiermee kan publiceren, de betreffende package tarballs te downloaden, een nieuwe malafide postinstall hook toe te voegen en de packages opnieuw te publiceren. Op deze manier probeert de "worm" zichzelf verder te verspreiden.

Ontwikkelaars worden aangeraden om de genoemde versies van de packages niet te gebruiken en die van systemen en CI/CD-pipelines te verwijderen. Tevens wordt aangeraden om alle credentials, API keys, tokens en andere gevoelige data te roteren.