Default
Door Remote - 20 May 2026
In het kort
Shai-Hulud-malware is gekoppeld aan ongeveer 300 npm- en PyPI-pakketvermeldingen.
OpenAI, Microsoft en Mistral AI hebben recente Shai-Hulud-gerelateerde incidenten bekendgemaakt.
De malware maakte misbruik van GitHub Actions en vertrouwde softwarepublicatieworkflows.
Een malwarecampagne die bekend staat als “Shai-Hulud” verspreidt zich via de softwarepijplijnen die ontwikkelaars gebruiken om code te bouwen en te distribueren, waardoor nieuwe zorgen rijzen over de vraag hoeveel van het moderne internet nu afhankelijk is van geautomatiseerde systemen die werken met weinig direct menselijk toezicht.
Onderzoekers koppelden de Shai-Hulud-malwarecampagne aan ongeveer 320 pakketvermeldingen in Node Package Manager (NPM) en PyPI, twee van de grootste online opslagplaatsen die ontwikkelaars gebruiken om JavaScript- en Python-softwarepakketten te downloaden en te delen. De getroffen pakketten zijn samen goed voor meer dan 518 miljoen maandelijkse downloads.
“Shai-Hulud is belangrijk omdat het een probleem blootlegt dat we niet volledig kunnen oplossen: moderne software wordt gebouwd door de code van anderen uit te voeren”, vertelde Jeff Williams, CTO van het in Californië gevestigde beveiligingsbedrijf Contrast Security, aan Decrypt. "Ontwikkelaars 'downloaden' bibliotheken niet alleen maar. Ze installeren ze, bouwen ermee, testen ermee, implementeren ze en voeren ze uiteindelijk uit. En als je een kwaadaardige bibliotheek gebruikt, kan deze bijna alles doen wat je maar kunt doen."
Vooruitgang op het gebied van kunstmatige intelligentie compliceert de dreiging, zei Williams, terwijl hij Shai-Hulud vergeleek met het maken van een computer tot een dubbelagent.
"Het enge deel is de hefboomwerking. Als een aanvaller een obscuur pakket compromitteert, krijgt hij niet zomaar dat pakket te pakken", aldus Williams. "Ze krijgen toegang tot elk stroomafwaarts project dat erop vertrouwt. Vervolgens kunnen ze meer tokens stelen, meer vergiftigde pakketten publiceren en de cyclus herhalen. De software-toeleveringsketen is geen keten meer, het is een propagatienetwerk", voegde hij eraan toe.
Eerder deze maand maakte Microsoft Threat Intelligence bekend dat aanvallers kwaadaardige code in een Mistral AI-softwarepakket hadden geplaatst dat via PyPI werd verspreid. Microsoft zei dat de malware een extra bestand heeft gedownload dat is ontworpen om te lijken op de veelgebruikte Transformers-bibliotheek van Hugging Face, zodat het zou opgaan in ontwikkelomgevingen voor machinaal leren.
Mistral zei later dat een getroffen ontwikkelaarsapparaat bij het incident betrokken was, maar voegde eraan toe dat er “geen aanwijzingen waren dat de Mistral-infrastructuur in gevaar was gebracht.”
Twee dagen later bevestigde OpenAI dat malware die verband hield met dezelfde campagne, twee werknemersapparaten infecteerde en aanvallers toegang gaf tot een beperkt aantal interne codeopslagplaatsen. Het bedrijf zei dat het geen bewijs heeft gevonden dat klantgegevens, productiesystemen of intellectueel eigendom in gevaar zijn gebracht.
Shai-Hulud komtVernoemd naar de gigantische zandwormen in Frank Herberts ‘Dune’, traceerden onderzoekers eerdere versies van de malware terug tot september 2025 en cybercriminelen bekend als TeamPCP. De campagne trok echter bredere aandacht na een grote aanval van 11 mei op TanStack, een veelgebruikt open-source JavaScript-framework dat wordt gebruikt in web- en cloudapplicaties.
Shai-Hulud maakt deel uit van een groeiend type aanval op de toeleveringsketen waarbij hackers vertrouwde softwaretools of diensten in gevaar brengen die andere bedrijven al gebruiken. In plaats van zich rechtstreeks op de slachtoffers te richten, gebruiken de aanvallers deze vertrouwde systemen om kwaadaardige code te verspreiden of toegang te krijgen tot ontwikkelomgevingen.
Onderzoekers zeggen dat de aanvallen gedeelde build-caches vergiftigen, zodat toekomstige softwarereleases stilletjes de kwaadaardige code binnenhalen. Voor een ontwikkelaar die de pakketten downloadt, ziet alles er normaal uit, omdat de software afkomstig is van vertrouwde bronnen, geldige handtekeningen bevat en de gebruikelijke veiligheidscontroles heeft doorstaan. Dat maakte de aanval zo verontrustend.
Zondag meldde cyberbeveiligingsbedrijf OX Security dat nieuwe kwaadaardige pakketten die de originele malware nabootsten, al inloggegevens voor de cloud en crypto-portemonnee, SSH-sleutels en omgevingsvariabelen stalen. Tegelijkertijd probeerden sommige varianten geïnfecteerde machines in DDoS-botnets te veranderen.
“Eén belastend bewijs dat dit een andere actor is dan TeamPCP is dat de Shai-Hulud-malwarecode een vrijwel exacte kopie is van de gelekte broncode, zonder verduisteringstechnieken, waardoor de definitieve versie visueel verschilt van het origineel”, schreef OX Security. “In onze analyse laten we de zij-aan-zij vergelijking zien van de Shai-Hulud-versie met krijtsjabloon met het originele broncodelek, waaruit blijkt dat ze hetzelfde zijn.”
Het nieuws rond Shai-Hulud komt omdat moderne softwareontwikkelaars steeds afhankelijker worden van geautomatiseerde platforms zoals GitHub Actions. Tegelijkertijd zijn supply chain-aanvallen gericht op open source-infrastructuur steeds gebruikelijker geworden, omdat aanvallers zich steeds meer richten op ontwikkelaarstools en geautomatiseerde publicatiesystemen, in plaats van rechtstreeks op eindgebruikerssystemen.
“[Shai-Hulud] herinnert ons eraan dat het aanvalsoppervlak van [systemen, applicaties en producten] nu veel verder reikt dan de traditionele applicatielagen en zich uitstrekt tot de open-sourcepakketten die moderne ontwikkelings- en implementatieworkflows aandrijven”, vertelde Joris Van De Vis, directeur Security Research bij het in Nederland gevestigde cyberbeveiligingsbedrijf SecurityBridge, aan Decrypt.
Dinsdag zei GitHub dat het onderzoek deed naar ongeoorloofde toegang tot zijn interne opslagplaatsen nadat TeamPCP de verantwoordelijkheid had opgeëist voor het stelen van ongeveer 4.000 privéopslagplaatsen en de gegevens te koop had aangeboden op een cybercriminaliteitsforum voor minstens $ 50.000.
Volgens Van De Vis laat Shai-Hulud ook zien hoe aanvallen gericht op vertrouwde software-automatisering zich snel kunnen verspreiden van ontwikkelaarstools naar bedrijfssystemen waar bedrijven op vertrouwen voor kritieke activiteiten.
"Wanneer vertrouwde NPM-afhankelijkheden kunnen worden ingezet om inloggegevens uit [Cloud Application Programming] en [Multi-Target Application]-omgevingen te stelen, is het risico niet langer alleen een probleem met de laptop van ontwikkelaars, maar wordt het een directe weg naar productieve SAP-systemen. Daarom hebben organisaties strengere afhankelijkheidscontroles, exacte versievastlegging en sterkere publicatiewaarborgen nodig", aldus Van De Vis.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
Shai-Hulud-malware is gekoppeld aan ongeveer 300 npm- en PyPI-pakketvermeldingen.
OpenAI, Microsoft en Mistral AI hebben recente Shai-Hulud-gerelateerde incidenten bekendgemaakt.
De malware maakte misbruik van GitHub Actions en vertrouwde softwarepublicatieworkflows.
Een malwarecampagne die bekend staat als “Shai-Hulud” verspreidt zich via de softwarepijplijnen die ontwikkelaars gebruiken om code te bouwen en te distribueren, waardoor nieuwe zorgen rijzen over de vraag hoeveel van het moderne internet nu afhankelijk is van geautomatiseerde systemen die werken met weinig direct menselijk toezicht.
Onderzoekers koppelden de Shai-Hulud-malwarecampagne aan ongeveer 320 pakketvermeldingen in Node Package Manager (NPM) en PyPI, twee van de grootste online opslagplaatsen die ontwikkelaars gebruiken om JavaScript- en Python-softwarepakketten te downloaden en te delen. De getroffen pakketten zijn samen goed voor meer dan 518 miljoen maandelijkse downloads.
“Shai-Hulud is belangrijk omdat het een probleem blootlegt dat we niet volledig kunnen oplossen: moderne software wordt gebouwd door de code van anderen uit te voeren”, vertelde Jeff Williams, CTO van het in Californië gevestigde beveiligingsbedrijf Contrast Security, aan Decrypt. "Ontwikkelaars 'downloaden' bibliotheken niet alleen maar. Ze installeren ze, bouwen ermee, testen ermee, implementeren ze en voeren ze uiteindelijk uit. En als je een kwaadaardige bibliotheek gebruikt, kan deze bijna alles doen wat je maar kunt doen."
Vooruitgang op het gebied van kunstmatige intelligentie compliceert de dreiging, zei Williams, terwijl hij Shai-Hulud vergeleek met het maken van een computer tot een dubbelagent.
"Het enge deel is de hefboomwerking. Als een aanvaller een obscuur pakket compromitteert, krijgt hij niet zomaar dat pakket te pakken", aldus Williams. "Ze krijgen toegang tot elk stroomafwaarts project dat erop vertrouwt. Vervolgens kunnen ze meer tokens stelen, meer vergiftigde pakketten publiceren en de cyclus herhalen. De software-toeleveringsketen is geen keten meer, het is een propagatienetwerk", voegde hij eraan toe.
Eerder deze maand maakte Microsoft Threat Intelligence bekend dat aanvallers kwaadaardige code in een Mistral AI-softwarepakket hadden geplaatst dat via PyPI werd verspreid. Microsoft zei dat de malware een extra bestand heeft gedownload dat is ontworpen om te lijken op de veelgebruikte Transformers-bibliotheek van Hugging Face, zodat het zou opgaan in ontwikkelomgevingen voor machinaal leren.
Mistral zei later dat een getroffen ontwikkelaarsapparaat bij het incident betrokken was, maar voegde eraan toe dat er “geen aanwijzingen waren dat de Mistral-infrastructuur in gevaar was gebracht.”
Twee dagen later bevestigde OpenAI dat malware die verband hield met dezelfde campagne, twee werknemersapparaten infecteerde en aanvallers toegang gaf tot een beperkt aantal interne codeopslagplaatsen. Het bedrijf zei dat het geen bewijs heeft gevonden dat klantgegevens, productiesystemen of intellectueel eigendom in gevaar zijn gebracht.
Shai-Hulud komtVernoemd naar de gigantische zandwormen in Frank Herberts ‘Dune’, traceerden onderzoekers eerdere versies van de malware terug tot september 2025 en cybercriminelen bekend als TeamPCP. De campagne trok echter bredere aandacht na een grote aanval van 11 mei op TanStack, een veelgebruikt open-source JavaScript-framework dat wordt gebruikt in web- en cloudapplicaties.
Shai-Hulud maakt deel uit van een groeiend type aanval op de toeleveringsketen waarbij hackers vertrouwde softwaretools of diensten in gevaar brengen die andere bedrijven al gebruiken. In plaats van zich rechtstreeks op de slachtoffers te richten, gebruiken de aanvallers deze vertrouwde systemen om kwaadaardige code te verspreiden of toegang te krijgen tot ontwikkelomgevingen.
Onderzoekers zeggen dat de aanvallen gedeelde build-caches vergiftigen, zodat toekomstige softwarereleases stilletjes de kwaadaardige code binnenhalen. Voor een ontwikkelaar die de pakketten downloadt, ziet alles er normaal uit, omdat de software afkomstig is van vertrouwde bronnen, geldige handtekeningen bevat en de gebruikelijke veiligheidscontroles heeft doorstaan. Dat maakte de aanval zo verontrustend.
Zondag meldde cyberbeveiligingsbedrijf OX Security dat nieuwe kwaadaardige pakketten die de originele malware nabootsten, al inloggegevens voor de cloud en crypto-portemonnee, SSH-sleutels en omgevingsvariabelen stalen. Tegelijkertijd probeerden sommige varianten geïnfecteerde machines in DDoS-botnets te veranderen.
“Eén belastend bewijs dat dit een andere actor is dan TeamPCP is dat de Shai-Hulud-malwarecode een vrijwel exacte kopie is van de gelekte broncode, zonder verduisteringstechnieken, waardoor de definitieve versie visueel verschilt van het origineel”, schreef OX Security. “In onze analyse laten we de zij-aan-zij vergelijking zien van de Shai-Hulud-versie met krijtsjabloon met het originele broncodelek, waaruit blijkt dat ze hetzelfde zijn.”
Het nieuws rond Shai-Hulud komt omdat moderne softwareontwikkelaars steeds afhankelijker worden van geautomatiseerde platforms zoals GitHub Actions. Tegelijkertijd zijn supply chain-aanvallen gericht op open source-infrastructuur steeds gebruikelijker geworden, omdat aanvallers zich steeds meer richten op ontwikkelaarstools en geautomatiseerde publicatiesystemen, in plaats van rechtstreeks op eindgebruikerssystemen.
“[Shai-Hulud] herinnert ons eraan dat het aanvalsoppervlak van [systemen, applicaties en producten] nu veel verder reikt dan de traditionele applicatielagen en zich uitstrekt tot de open-sourcepakketten die moderne ontwikkelings- en implementatieworkflows aandrijven”, vertelde Joris Van De Vis, directeur Security Research bij het in Nederland gevestigde cyberbeveiligingsbedrijf SecurityBridge, aan Decrypt.
Dinsdag zei GitHub dat het onderzoek deed naar ongeoorloofde toegang tot zijn interne opslagplaatsen nadat TeamPCP de verantwoordelijkheid had opgeëist voor het stelen van ongeveer 4.000 privéopslagplaatsen en de gegevens te koop had aangeboden op een cybercriminaliteitsforum voor minstens $ 50.000.
Volgens Van De Vis laat Shai-Hulud ook zien hoe aanvallen gericht op vertrouwde software-automatisering zich snel kunnen verspreiden van ontwikkelaarstools naar bedrijfssystemen waar bedrijven op vertrouwen voor kritieke activiteiten.
"Wanneer vertrouwde NPM-afhankelijkheden kunnen worden ingezet om inloggegevens uit [Cloud Application Programming] en [Multi-Target Application]-omgevingen te stelen, is het risico niet langer alleen een probleem met de laptop van ontwikkelaars, maar wordt het een directe weg naar productieve SAP-systemen. Daarom hebben organisaties strengere afhankelijkheidscontroles, exacte versievastlegging en sterkere publicatiewaarborgen nodig", aldus Van De Vis.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!