Ein ausgeklügelter npm-Wurm namens 'Mini Shai-Hulud' breitet sich laut ChainCatcher durch bekannte Entwicklerprojekte wie TanStack, UiPath und DraftLab aus. Das Bedrohungsüberwachungssystem MistEye, betrieben von der Blockchain-Sicherheitsfirma SlowMist, hat den Wurm entdeckt. Angreifer übernehmen GitHub-Zugangsdaten, um bösartige Softwarepakete zu veröffentlichen, die als legitime Updates getarnt sind. Diese Pakete enthalten ein verborgenes Skript, router_init.js, das stillschweigend in CI/CD-Umgebungen wie GitHub Actions läuft. Der Wurm ist darauf ausgelegt, CI/CD-Schlüssel, Schlüssel für Cloud-Infrastruktur und Informationen zu Krypto-Wallets zu stehlen und nutzt die Infrastruktur von GitHub für die Datenexfiltration.

SlowMist hat die Bedrohungsintelligenz mit seinen Kunden geteilt und rät Projekten, die betroffene Pakete verwenden, ihre CI/CD-Pipelines auf das Vorhandensein der router_init.js-Datei zu überprüfen. Sie empfehlen, alle exponierten GitHub-, Cloud-Service- und Kryptowährungs-Anmeldeinformationen zu rotieren und kontinuierlich nach ungewöhnlichen Aktivitäten im Hintergrund der Entwicklungsumgebung zu überwachen.