Kritieke npm malware steelt crypto en cloudsecrets van ontwikkelaars
Beveiligingsonderzoekers ontdekken een kritieke nieuwe malwarecampagne in het npm ecosysteem die zich richt op ontwikkelaars en hun waardevolle credentials. De aanval, gekoppeld aan het gecompromitteerde npm account ‘czirker’, treft 23 packages en heeft op het moment van ontdekking al 408 geïnfecteerde GitHub repositories achtergelaten vol gestolen inloggegevens.
Hoe de aanval werkt
De campagne staat bekend onder de naam ‘Alright Lets See If This Works’ en is een variant van de eerder bekende Shai-Hulud, Miasma en Hades malwarefamilies. De aanvallers misbruiken een vooraf ingesteld binding.gyp bestand dat automatisch kwaadaardige code uitvoert zodra een ontwikkelaar een npm install draait. Dat betekent dat enkel het installeren van een besmet pakket al genoeg is om slachtoffer te worden.
Eén van de getroffen packages is leo-logger, dat wekelijks zo’n 3.140 keer wordt gedownload via npm. De malware richt zich op het stelen van GitHub tokens, npm tokens en cloudcredentials van platforms zoals AWS, GCP en Azure. Daarnaast exfiltreert het lokale omgevingsdata, misbruikt het GitHub workflows en verspreidt het zichzelf verder via de npm supply chain.
🚨 SlowMist TI Alert 🚨 A new Shai-Hulud / Miasma / Hades npm malware variant linked to the compromised npm developer account czirker, affecting the npm ecosystem. The campaign uses a preconfigured binding.gyp file to execute during npm install; reported scope includes 23…
Wat ontwikkelaars nu moeten doen
Beveiligingsteams krijgen het dringende advies om direct actie te ondernemen. Controleer lockfiles en packagegeschiedenissen op besmette versies en verwijder of downgrade getroffen packages zo snel mogelijk. Daarnaast is het essentieel om alle secrets te rouleren, waaronder npm tokens, GitHub tokens, cloudcredentials, CI/CD sleutels en applicatiesecrets.
Ook raadt SlowMist aan om tweefactorauthenticatie (2FA) in te schakelen op alle betrokken accounts. De getroffen packages omvatten onder andere npm:leo-sdk, npm:leo-cli, npm:leo-auth en tientallen andere leo-connector pakketten. De situatie is als ‘kritiek’ geclassificeerd en wordt actief gemonitord. De laatste updates zijn te volgen via https://enterprise.misteye.io/threat-intelligence/SM-2026-733101
Geen financieel advies. Blockchain Stories biedt uitsluitend educatieve en informatieve content. Crypto assets zijn zeer volatiel en je kunt je volledige inleg verliezen. Doe altijd je eigen onderzoek. Lees onze volledige disclaimer.
Affiliate vermelding. Sommige links op deze site zijn partner/affiliate links. Als je je via zo'n link aanmeldt bij een partner, ontvangen wij mogelijk een commissie, zonder extra kosten voor jou. Dit beïnvloedt nooit onze berichtgeving. Lees onze redactionele richtlijnen.
Meer Scam Nieuws
Meer nieuws ›
