Geavanceerde npm worm treft ontwikkelaars binnen crypto sector
Cybersecuritybedrijf SlowMist waarschuwt voor een nieuwe en geavanceerde aanval die zich richt op ontwikkelaars binnen het crypto ecosysteem. De malwarecampagne, genaamd “Mini Shai Hulud”, verspreidt zich via besmette npm packages en maakt volgens onderzoekers misbruik van vertrouwde softwareprojecten zoals TanStack, UiPath en DraftLab.
De aanval richt zich vooral op ontwikkelomgevingen en CI/CD pipelines zoals GitHub Actions. Daarbij proberen aanvallers gevoelige informatie buit te maken, waaronder cloud sleutels, GitHub credentials en crypto wallets. Volgens SlowMist gaat het om een van de meest geavanceerde npm worms die recent is ontdekt.
Aanvallers misbruiken populaire ontwikkelaarstools
Volgens SlowMist zijn de aanvallers erin geslaagd om GitHub accounts over te nemen waarmee vervolgens kwaadaardige updates van legitieme npm packages werden gepubliceerd. Daardoor konden besmette versies ongemerkt terechtkomen bij ontwikkelaars en bedrijven die de software vertrouwen.
De malware installeert een verborgen bestand met de naam router_init.js. Dit script draait vervolgens stilletjes op de achtergrond binnen CI/CD omgevingen en verzamelt gevoelige data van systemen waarop de besmette packages actief zijn.
Daarbij richten de aanvallers zich specifiek op informatie zoals API sleutels, cloud infrastructuurgegevens, GitHub tokens en crypto wallets. De gestolen gegevens worden daarna via GitHub infrastructuur doorgestuurd om detectie te vermijden. De waarschuwing volgt kort nadat bekend werd dat neppe TronLink extensies walletgegevens van gebruikers stelen.
🚨 MistEye TI Alert 🚨 MistEye has detected a highly sophisticated npm worm, "Mini Shai-Hulud," spreading through trusted developer projects like TanStack, UiPath, and DraftLab. The attackers hijacked GitHub credentials to publish malicious, yet seemingly legitimate, package…
Ontwikkelaars krijgen dringend advies
SlowMist adviseert ontwikkelaars en bedrijven om onmiddellijk actie te ondernemen wanneer zij gebruikmaken van de getroffen packages. Het beveiligingsbedrijf roept teams op om CI/CD pipelines te controleren op verdachte bestanden zoals router_init.js en systemen nauwlettend in de gaten te houden voor ongeautoriseerde achtergrondprocessen.
Daarnaast adviseert SlowMist om alle mogelijk blootgestelde credentials direct te vervangen. Dat geldt niet alleen voor GitHub accounts, maar ook voor cloud sleutels en crypto gerelateerde toegangscodes.
Meer technische details over de aanval en de bijbehorende indicators of compromise zijn gepubliceerd via het beveiligingsplatform van MistEye, meldt SlowMist.
Crypto sector blijft populair doelwit
Cyberaanvallen via software dependencies vormen al langer een groot risico binnen de crypto sector. Omdat veel blockchainprojecten afhankelijk zijn van open source software en geautomatiseerde ontwikkelprocessen, kunnen besmette packages zich snel verspreiden naar wallets, crypto exchanges en infrastructuurplatformen.
De waarschuwing van SlowMist laat opnieuw zien hoe belangrijk beveiliging van ontwikkelomgevingen is geworden. Vooral CI/CD systemen bevatten vaak gevoelige toegangssleutels die directe toegang kunnen geven tot fondsen, servers of interne infrastructuur. Tegelijkertijd nemen volgens recente rapporten ook AI scams binnen de crypto sector verder toe.
Geen financieel advies. Blockchain Stories biedt uitsluitend educatieve en informatieve content. Crypto assets zijn zeer volatiel en je kunt je volledige inleg verliezen. Doe altijd je eigen onderzoek. Lees onze volledige disclaimer.
Affiliate vermelding. Sommige links op deze site zijn partner/affiliate links. Als je je via zo'n link aanmeldt bij een partner, ontvangen wij mogelijk een commissie, zonder extra kosten voor jou. Dit beïnvloedt nooit onze berichtgeving. Lees onze redactionele richtlijnen.
Meer Hacks & Aanvallen
Meer nieuws ›
