Securitybedrijf HelixGuard heeft ontdekt dat honderden npm-packages in de npm Registry zijn geïnfecteerd met malware. Deze malware steelt gevoelige gegevens van systemen en probeert andere npm-packages te besmetten. De aanval vertoont overeenkomsten met een eerdere aanval in september waarbij meer dan vijfhonderd packages werden getroffen door de malware "Shai-Hulud". In de huidige aanval zijn meer dan driehonderd packages geïnfecteerd.

Wanneer ontwikkelaars een geïnfecteerde package uitvoeren, wordt de malware actief. Deze maakt gebruik van de software TruffleHog om op de lokale machine naar gevoelige informatie te zoeken, zoals NPM-tokens, AWS/GCP/Azure-credentials en omgevingsvariabelen. De gestolen tokens worden gebruikt om andere npm-packages te infecteren. De gevoelige informatie wordt via een GitHub Action runner genaamd "SHA1HULUD" naar de aanvallers gestuurd, wat volgens de onderzoekers verwijst naar de aanval van september. Er is een lijst van gecompromitteerde npm-packages gepubliceerd. Een ontwikkelaar meldde op Hacker News dat meerdere van zijn packages zijn geïnfecteerd.