یک کرم جدید npm به نام Shai-Hulud موج دوم حمله‌ی گسترده خود را آغاز کرده و ۴۹۲ پکیج با ۱۳۲ میلیون دانلود ماهانه را آلوده کرده است.

پکیج‌های معروف مانند AsyncAPI، Zapier، Postman، PostHog و ENS آلوده شده‌اند.

بدافزار Bun را نصب می‌کند، رازهای سیستم را سرقت و در GitHub منتشر می‌کند و اگر دسترسی نگیرد، فایل‌های کاربر را حذف می‌کند.

بیش از 26 هزار ریپازیتوری GitHub اکنون حاوی اعتبارنامه‌های دزدیده‌شده هستند.

زمان‌بندی حمله نشان می‌دهد مهاجم از آخرین فرصت پیش از مسدودسازی توکن‌های قدیمی npm استفاده کرده است.

توصیه می‌شود نسخه‌های نصب‌شده بررسی، همه‌ی توکن‌ها تعویض و اسکریپت‌های postinstall غیرفعال شوند.