S1ngularity Aanvallers Slaan Opnieuw Toe: Nieuwe Worm-Aanval Treft NPM Ecosystem
De cybersecurity gemeenschap werd opgeschrikt door nieuws van een nieuwe grootschalige aanval op het NPM-ecosysteem. De aanvallers achter de nx-aanval hebben opnieuw toegeslagen, waarbij ze een grote hoeveelheid packages aanvallen met een voor het eerst ontwikkelde worm-payload.
Wat Er Gebeurd Is
Aanvankelijk werd gerapporteerd door Socket en StepSecurity dat 40 packages waren gecompromitteerd, maar sindsdien zijn nog eens 147 packages geïnfecteerd met malware, inclusief packages van CrowdStrike. Dit maakt het een van de grootste supply chain-aanvallen in de recente geschiedenis van het JavaScript-ecosysteem.
De aanvallers hebben hun tactiek aanzienlijk verfijnd sinds de originele Nx-aanval van 27 augustus 2025. Waar de eerste aanval handmatige targeting vereiste, heeft deze nieuwe variant zich ontwikkeld tot een volledig geautomatiseerde worm.
De “Shai Hulud” Worm
De worm heeft de codenaam “Shai Hulud” gekregen - een duidelijke verwijzing naar de worm uit het Dune-franchise, wat de intentie van de aanvallers onderstreept. Deze nieuwe variant kan zich automatisch verspreiden zonder handmatige interventie van de aanvallers.
Het werkingsmechanisme is zowel geniaal als verontrustend: zodra één omgeving gecompromitteerd is, automatiseert de worm de verspreiding door mee te liften op de publicatierechten van de packagebeheerder zelf. Dit betekent dat de aanvaller niet langer elke package handmatig hoeft te targeten.
Impact en Gevolgen
De schaal van deze aanval is significant. Net als bij de originele Nx-aanval zoekt de malware naar:
- GitHub tokens en API sleutels
- SSH keys en credentials
- Cryptocurrency wallets
- Cloud service credentials
- AI service tokens (OpenAI, Anthropic Claude, enz.)
De gestolen gegevens worden vervolgens geëxfiltreerd naar door aanvallers gecontroleerde GitHub repositories, waar ze kunnen worden gebruikt voor verdere aanvallen.
Wat Kunnen Ontwikkelaars Doen?
Onmiddellijke Acties
- Controleer uw dependencies: Scan uw
package.jsonennode_modulesop verdachte packages - Roteer credentials: Vernieuw alle GitHub tokens, API keys, en SSH keys die mogelijk gecompromitteerd zijn
- Monitor uw GitHub account: Zoek naar ongeautoriseerde repositories met namen zoals “s1ngularity-repository”
Preventieve Maatregelen
Voor Aikido Security gebruikers: controleer uw centrale feed en filter op malware-issues. De kwetsbaarheid wordt getoond als een kritieke 100/100 issue in de feed.
Voor anderen beveelt Aikido Security aan om:
- Een account aan te maken en repositories te verbinden (gratis beschikbaar)
- SafeChain te implementeren - een open-source beveiligingswrapper voor npm, npx, en yarn
- Regelmatig dependency scans uit te voeren
De Bredere Context
Deze aanval toont de evolutie van supply chain-dreigingen aan. Waar eerdere aanvallen zich richtten op individuele packages, zien we nu self-propagating malware die het vertrouwen in het open-source ecosysteem misbruikt.
Het gebruik van AI-tools in de eerste Nx-aanval en nu de ontwikkeling van worm-technologie suggereert dat aanvallers steeds geavanceerdere technieken ontwikkelen. Dit vraagt om een herbeoordeling van hoe we supply chain security benaderen.
Conclusie
De S1ngularity-aanvallen markeren een nieuw hoofdstuk in supply chain-beveiliging. Met de introductie van worm-technologie in NPM-malware moeten ontwikkelaars en organisaties hun beveiligingsposture heroverwegen.
Waakzaamheid, regelmatige security scans en het implementeren van robuuste credential management zijn essentieel geworden voor elke ontwikkelingsomgeving die afhankelijk is van open-source packages.
Bronvermelding: Dit artikel is gebaseerd op bevindingen gepubliceerd door Aikido Security. Lees het volledige technische rapport: S1ngularity/nx attackers strike again