Socket.devによると、npmアカウント「atool」の侵害により、echarts-for-reactやAlibabaの@antvライブラリを含む広く利用されるパッケージに悪意ある更新が配信され、仮想通貨、DeFi(分散型金融)、フィンテックの開発環境が認証情報窃取の危険にさらされた。
Mini Shai-Huludソフトウェアサプライチェーンワームは5月19日、npmアカウント「atool」を侵害し、30分足らずで323パッケージにまたがる639の悪意あるバージョンを公開した。影響を受けたパッケージには、echarts-for-react、size-sensor、@antv/scale、timeago.jsのほか、仮想通貨ダッシュボード、DeFi(分散型金融)のフロントエンド、フィンテックアプリケーションで使われるAlibabaの@antv関連コンポーネントが含まれていた。Socket.devによると、この難読化されたマルウェアは20種類超の認証情報を窃取でき、データをAES-256-GCMで暗号化したうえで、C2サーバーへ送信するか、盗んだGitHubトークンを使って攻撃者が作成した公開リポジトリへ流出させることができた。StepSecurityは、関連する指標がすでに2,500超のGitHubリポジトリで確認されていると述べた。このワームはさらにOpenTelemetryトレースを利用し、永続化のためLinux上でsystemdユーザーサービスを作成し、開発環境で再作動するために.vscodeと.claudeファイルを改変した。SlowMistのCSOである23pdsは開発者に対し影響有無の調査を促し、この事件はより広範なShai-Huludキャンペーンの第3波と説明された。