Mini Shai-Hulud Worm
De cybercrimineel TeamPCP is betrokken bij een geavanceerde aanvalscampagne op de toeleveringsketen, gericht op veelgebruikte npm- en PyPI-pakketten van TanStack, UiPath, Mistral AI, OpenSearch, Guardrails AI en diverse andere ecosystemen. Deze operatie, die verband houdt met de zich ontwikkelende Mini Shai-Hulud-malwarecampagne, toont een aanzienlijke escalatie in het misbruik van de softwaretoeleveringsketen en identiteitsgedreven compromitteringstechnieken.
Onderzoekers ontdekten dat kwaadaardige npm-pakketten waren aangepast om een versleutelde JavaScript-component genaamd router_init.js te bevatten. Deze payload profileert geïnfecteerde omgevingen en zet een geavanceerde credential stealer in die zich richt op cloudproviders, cryptowallets, AI-ontwikkeltools, berichtenplatformen, CI/CD-systemen en GitHub Actions-omgevingen. De gestolen gegevens worden voornamelijk verzonden naar het domein filev2.getsession.org.
Het gebruik van de Session Protocol-infrastructuur wijst op een bewuste poging om de beveiligingsmaatregelen van de organisatie te omzeilen. Omdat het domein toebehoort aan een gedecentraliseerd, op privacy gericht berichtenplatform, is de kans kleiner dat het wordt geblokkeerd door traditionele netwerkbeveiliging. Als secundaire exfiltratiemethode worden versleutelde gegevens via de GitHub GraphQL API naar door de aanvaller beheerde repositories verzonden met behulp van gestolen GitHub-authenticatietokens onder de auteursidentiteit claude@users.noreply.github.com.
Inhoudsopgave
Mechanismen voor persistentie en de uitbreiding van diefstal van inloggegevens
De malware introduceert diverse persistentie- en surveillancemogelijkheden die zijn ontworpen om langdurige toegang tot gecompromitteerde ontwikkelomgevingen te behouden. Persistentie-hooks worden ingebouwd in Claude Code en Microsoft Visual Studio Code, waardoor de malware systeemherstarts kan overleven en automatisch opnieuw wordt opgestart wanneer de IDE's worden geopend.
Daarnaast wordt een gh-token-monitor-service ingezet om GitHub-tokens continu te monitoren en opnieuw te onderscheppen. Twee kwaadaardige GitHub Actions-workflows worden ook in gecompromitteerde repositories geïnjecteerd. Deze workflows serialiseren repositorygeheimen naar JSON-formaat en uploaden de gegevens naar het externe eindpunt api.masscan.cloud.
De meest recente inbreuk op TanStack verschilt aanzienlijk van eerdere incidenten in de toeleveringsketen. In plaats van gebruik te maken van een pre-installatiehook, hebben de aanvallers een kwaadaardig JavaScript-bestand rechtstreeks in de tarball-bestanden van de pakketten ingesloten en tegelijkertijd een optionele afhankelijkheid geïntroduceerd die gekoppeld is aan een pakket dat op GitHub wordt gehost. Deze afhankelijkheid bevat een prepare lifecycle hook die de payload uitvoert via de Bun runtime-omgeving.
De met een trojan geïnfecteerde Mistral AI-pakketten gebruikten een oudere infectiestrategie door het package.json-bestand aan te passen met een preinstall-hook die node setup.mjs aanroept. Dit proces downloadt Bun en voert dezelfde malware uit die inloggegevens steelt.
CVE-2026-45321 en het misbruik van Trusted Publishing
De TanStack-kwetsbaarheid is officieel geregistreerd als CVE-2026-45321 en heeft een kritieke CVSS-score van 9,6 gekregen. Onderzoekers hebben bevestigd dat 42 pakketten en 84 versies binnen het TanStack-ecosysteem zijn getroffen.
Uit analyse bleek dat de inbreuk voortkwam uit een kettingaanval op GitHub Actions, waarbij gebruik werd gemaakt van de trigger `pull_request_target`, cachevergiftiging van GitHub Actions en het tijdens runtime extraheren van OIDC-tokens uit GitHub Actions-runners. De aanvallers zouden kwaadaardige payloads hebben verspreid via achtergebleven commits in GitHub-forks, alvorens deze in npm-pakket-tarballs te injecteren. Vervolgens kaapten de aanvallers legitieme TanStack/router-workflows om gecompromitteerde pakketten te publiceren met geldige SLSA-provenance-attestaties.
Deze ontwikkeling markeert een historische escalatie in aanvallen op de softwareleveringsketen. De kwaadaardige pakketten bevatten geldige SLSA Build Level 3-provenance-signatures, waardoor dit de eerste gedocumenteerde npm-worm is die in staat is om kwaadaardige pakketten met authentieke build-attestaties te verspreiden. De malwarecampagne breidde zich vervolgens uit van TanStack naar ecosystemen die worden beheerd door UiPath, DraftLab en andere ontwikkelaars.
De operatie maakte ernstig misbruik van vertrouwde publicatieprocessen. In plaats van direct npm-referenties te stelen, gebruikte door de aanvaller gecontroleerde code die binnen vertrouwde CI/CD-pipelines draaide, OIDC-rechten om kortstondige publicatietokens aan te maken tijdens het bouwproces. Hierdoor konden kwaadaardige pakketten via legitieme releasepipelines worden gepubliceerd, waarbij conventionele authenticatiebeveiligingen werden omzeild.
Zelfvermeerderend wormgedrag baart zorgen.
Een van de gevaarlijkste aspecten van de Mini Shai-Hulud-campagne is het wormachtige verspreidingsmodel. De malware zoekt actief naar publiceerbare npm-tokens die geconfigureerd zijn met bypass_2fa=true, inventariseert de pakketten die door de gecompromitteerde ontwikkelaar worden beheerd en wisselt GitHub OIDC-tokens in voor publicatietokens per pakket. Dit mechanisme stelt de malware in staat zich lateraal te verspreiden binnen pakketecosystemen zonder gebruik te maken van traditionele methoden voor het stelen van inloggegevens.
De aanval maakte ook misbruik van vertrouwensconfiguraties op repositoryniveau binnen het OIDC-model voor vertrouwde uitgevers van GitHub. Omdat vertrouwen breed werd verleend op repositoryniveau in plaats van beperkt te zijn tot beveiligde branches en specifieke workflowbestanden, konden kwaadaardige workflow-uitvoeringen die werden geactiveerd door achtergebleven commits legitieme npm-publicatietokens aanvragen.
Een andere verontrustende mogelijkheid is het inzetten van een 'dodemansschakelaar'. De malware installeert een shellscript dat elke 60 seconden herhaaldelijk het api.github.com/user-eindpunt controleert om te bepalen of door de aanvaller aangemaakte npm-tokens nog actief zijn. Deze tokens bevatten de dreigende beschrijving 'IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner'.
Als verdedigers het token intrekken via het npm-dashboard, start de malware een destructieve routine die `rm -rf ~/` uitvoert, waardoor de infectie in feite verandert in wiper-malware. Dit agressieve gedrag duidt op een aanzienlijke evolutie in de operationele tactieken van TeamPCP en toont een toenemende verfijning in dwangmatige persistentiemethoden. Beveiligingsteams wordt daarom geadviseerd om geïnfecteerde systemen te isoleren en een image ervan te maken voordat ze gecompromitteerde npm-referenties intrekken.
Betrokken pakketten en de toenemende impact op het ecosysteem
De campagne heeft meer dan 170 pakketten op zowel npm als PyPI getroffen, goed voor in totaal meer dan 518 miljoen downloads. Onderzoekers identificeerden ook minstens 400 repositories die waren aangemaakt met gestolen inloggegevens, die allemaal de zin 'Shai-Hulud: Here We Go Again' bevatten.
De volgende pakketten zijn getroffen:
guardrails-ai@0.10.1 (PyPI)
mistralai@2.4.6 (PyPI)
@opensearch-project/opensearch@3.5.3, 3.6.2, 3.7.0, 3.8.0
@squawk/mcp@0.9.5
@squawk/weather@0.5.10
@squawk/flightplan@0.5.6
@tallyui/connector-medusa@1.0.1, 1.0.2, 1.0.3
@tallyui/connector-vendure@1.0.1, 1.0.2, 1.0.3
De malware maakt ook gebruik van meerdere redundante exfiltratiekanalen. Naast de Session Protocol-infrastructuur en GitHub-deaddrops worden gestolen inloggegevens verzonden via het typosquatting-domein git-tanstack.com.
PyPI-malware introduceert geofencing-gebaseerde destructieve logica.
De op Python gebaseerde malwarevarianten die geassocieerd worden met de kwaadaardige Mistral AI- en Guardrails AI-pakketten verschillen aanzienlijk van de JavaScript-payloads die via npm worden verspreid. Het gecompromitteerde Mistral AI PyPI-pakket downloadt een credential stealer van de externe host 83.142.209.194.
Onderzoekers ontdekten dat de Python-malware landspecifieke logica bevat die is ontworpen om uitvoering in Russischtalige omgevingen te voorkomen. De malware bevat ook een geografisch beperkt vernietigingsmechanisme dat een kans van één op zes introduceert om rm -rf / uit te voeren als het geïnfecteerde systeem zich in Israël of Iran lijkt te bevinden.
Dit gedrag duidt op een zorgwekkende ontwikkeling richting regio-bewuste inzet van destructieve payloads binnen open-source softwarepakketten.
De groeiende dreiging van identiteitsgerichte aanvallen op de toeleveringsketen
De Mini Shai-Hulud-campagne weerspiegelt een bredere transformatie in moderne aanvallen op de toeleveringsketen. In plaats van zich uitsluitend te richten op het compromitteren van pakketten, richten cybercriminelen zich steeds vaker op vertrouwde CI/CD-identiteiten, publicatieworkflows en cloudgebaseerde automatiseringspipelines.
Zodra aanvallers toegang krijgen tot de infrastructuur voor softwarepublicatie, wordt het ontwikkelingsproces zelf het verspreidingsmechanisme voor malware. Omdat veel kwaadaardige acties plaatsvinden via legitieme workflows, vertrouwde attestaties en authentieke releasesystemen, kunnen traditionele beveiligingsmaatregelen er niet in slagen om kwaadaardig gedrag te detecteren.
De belangrijkste kenmerken van deze nieuwe generatie aanvallen op de toeleveringsketen zijn onder meer:
- Misbruik van vertrouwde publicatie- en OIDC-tokenuitwisselingsmechanismen
- Verspreiding via legitieme CI/CD-workflows en buildsystemen.
- Gebruik van geldige SLSA-attestaties om kwaadaardige pakketten te maskeren.
- Multichannel-operaties voor het exfiltreren en bewaren van inloggegevens
- Vernietigende vergeldingsmechanismen die bedoeld zijn om verdedigers te intimideren.
De uitbreiding van de campagne naar AI-tools, bedrijfsautomatisering, zoekinfrastructuur, frontend-ontwikkeling, tools voor de luchtvaart en CI/CD-ecosystemen laat zien hoe diep de toeleveringsketens van software met elkaar verweven zijn geraakt. Gedragsmonitoring tijdens pakketinstallatie en build-uitvoering is nu steeds belangrijker voor het detecteren van bedreigingen die op het eerste gezicht legitiem lijken.
