En selvreplikerende orm som kaprer GitHub Actions-pipelines for å publisere ondsinnede npm-pakker har slått til igjen og kompromittert AntV, echarts-for-react og Microsofts durabletask-SDK.
GitHub-orm rammer npm-pakker med 16 millioner nedlastinger
SKREVET AV
DEL
Viktige punkter
Mini Shai-Hulud utnytter GitHub Actions og rammer 16 millioner ukentlige nedlastinger
Mini Shai-Hulud-kampanjen, tilskrevet trusselgruppen Team PCP, fungerer ikke slik de fleste forsyningskjedeangrep gjør, fordi angriperen, i stedet for å stjele en utviklers legitimasjon og publisere direkte, forker et måldepot på GitHub, åpner en pull request som utløser en `pull_request_target`-arbeidsflyt.
Dette forgifter GitHub Actions-cachen med en ondsinnet pnpm-store, og fra det punktet bærer de infiserte pakkene gyldige signerte sertifikater og passerer SLSA-provenance-sjekker, noe som gjør at de fremstår som helt rene for standard sikkerhetsverktøy.
19. mai rammet den siste bølgen AntV-økosystemet for datavisualisering da angripere fikk tilgang til en kompromittert vedlikeholderkonto i @atool-navnerommet og publiserte mer enn 300 ondsinnede pakkeversjoner på tvers av 323 pakker i et 22-minutters automatisert utbrudd.
Blant de berørte pakkene er echarts-for-react, en React-wrapper for Apache Echarts med omtrent 1,1 millioner ukentlige nedlastinger. Den samlede ukentlige nedlastingstallet på tvers av alle berørte pakker i denne bølgen er anslått til rundt 16 millioner.
Den mest alarmerende tekniske detaljen er hva som skjer hvis en utvikler prøver å gripe inn. Skadevaren installerer en «dead-man’s switch», dvs. et shell-skript som spør GitHubs API hvert 60. sekund for å sjekke om npm-tokenen den opprettet har blitt tilbakekalt. Den tokenen har beskrivelsen «IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner», som, hvis den tilbakekalles av en utvikler, umiddelbart sletter hjemmekatalogen på den infiserte maskinen.
Tokenen stjeler også legitimasjon fra GitHub, AWS, Azure, GCP, Kubernetes, Hashi Corp Vault og over 90 konfigurasjoner for utviklerverktøy før den sprer seg sidelengs på tvers av tilkoblet skyinfrastruktur.
Ett angrep, flere ofre
Kampanjen rammet samtidig Python Package Index (PyPI) da tre ondsinnede versjoner av Microsofts offisielle durabletask Python-SDK ble publisert 19. mai, og i det stille lastet ned og kjørte en 28 KB nyttelast som stjeler legitimasjon (i stand til å bevege seg på tvers av AWS-, Azure- og GCP-miljøer etter første kjøring).
GitHub svarte 20. mai med en kunngjøring som skisserte tre kjerneendringer i npm-publisering, nemlig masse-onboarding til OIDC for å hjelpe organisasjoner med å migrere hundrevis av pakker til pålitelig publisering i stor skala, utvidet støtte for OIDC-leverandører utover GitHub Actions og Gitlab, og en ny modell for trinnvis publisering som gir vedlikeholdere et gjennomgangsvindu før pakker går live, og som krever godkjenning med flerfaktorautentisering (MFA).
Selskapet planlegger også å fase ut eldre klassiske tokens, migrere brukere til FIDO-basert 2FA og som standard ikke tillate token-basert publisering. I den tidligere bølgen av kampanjen i september 2025 fjernet GitHub over 500 kompromitterte pakker fra npm-registeret
Blockchain-sikkerhetsselskapet Slowmist hadde kommet med en tidlig advarsel 14. mai etter å ha flagget tre ondsinnede versjoner av node-ipc, en pakke med 822 000 ukentlige nedlastinger, som del av den samme kampanjen.
Utviklere som bruker noen av de flaggede pakkene er blitt rådet til å revidere avhengighetstrær umiddelbart, rotere all legitimasjon uten først å tilbakekalle den ondsinnede tokenen, og sjekke indikatorer på kompromittering publisert av Snyk, Wiz, Socket.dev og Step Security.
