Onderzoekers hebben meerdere npm packages van Namastex Labs ontdekt die besmet zijn met malware die gevoelige gegevens steelt en zichzelf automatisch probeert te verspreiden. De kwaadaardige code richt zich op het verzamelen van tokens, wachtwoorden en andere credentials van ontwikkelaars.

De malware verzamelt onder meer cryptowallets, API keys, SSH keys en inloggegevens voor cloudservices. Ook worden opgeslagen wachtwoorden uit de lokale Chrome Login Database gestolen. Daarnaast bevat de malware functionaliteit om npm-tokens en PyPi-credentials op het besmette systeem te vinden, waarna het de packages identificeert die de ontwikkelaar met deze credentials kan publiceren. Vervolgens downloadt de malware de package tarballs, voegt een malafide postinstall hook toe en publiceert de packages opnieuw. Op deze manier probeert de wormachtige malware zich verder te verspreiden binnen de ontwikkelomgeving.

Ontwikkelaars wordt dringend geadviseerd om de getroffen versies van de npm packages niet meer te gebruiken en deze van systemen en CI/CD-pijplijnen te verwijderen. Tevens wordt aanbevolen om alle credentials, API keys, tokens en andere gevoelige gegevens te roteren om verdere schade te voorkomen. Meer informatie over deze compromittering is te vinden in het onderzoek van Namastex Labs.