Microsoft heeft een recent supply chain-aanval op Mastra AI, waarbij meer dan 140 npm-pakketten zijn gecompromitteerd, toegeschreven aan de Noord-Koreaanse hackersgroep Sapphire Sleet, ook wel bekend als BlueNoroff.

Deze conclusie volgde nadat Microsoft eerder deze week onthulde dat een npm-beheerdersaccount was gehackt en gebruikt om schadelijke pakketupdates te publiceren.

“Microsoft heeft met grote zekerheid vastgesteld dat deze activiteit te herleiden is naar Sapphire Sleet, een Noord-Koreaanse staatsacteur die zich vooral richt op de financiële sector,” aldus het bedrijf in een update op 19 juni.

Volgens Microsoft begon de aanval toen hackers het npm-beheerdersaccount “ehindero” overnamen, dat publicatierechten had binnen de Mastra-pakketomgeving.

Met dit account publiceerden de aanvallers kwaadaardige updates voor meer dan 140 pakketten in de @mastra-omgeving, die een schadelijke afhankelijkheid genaamd “easy-day-js” injecteerden. Deze afhankelijkheid is een typografische variant van de populaire dayjs JavaScript-bibliotheek.

Bij installatie van de gecompromitteerde pakketten voerde de schadelijke afhankelijkheid een post-installatiescript uit dat malware installeerde op apparaten van ontwikkelaars, met als doel het stelen van gevoelige inloggegevens, API-sleutels, authenticatietokens en cryptowallets.

“Na installatie activeerde easy-day-js een postinstall-opdracht die een verhuld dropperscript uitvoerde, TLS-certificaatverificatie uitschakelde, contact maakte met door aanvallers beheerde command-and-control (C2) infrastructuur, een tweede laadfase downloadde en deze als een verborgen proces uitvoerde,” legt Microsoft uit.

Kruisplatform-malware valt cryptowallets aan

De gedownloade tweede fase was een kruisplatform-informatie stealer, gericht op Windows, Linux en macOS.

Het implantaat verzamelde informatie over het systeem, browsegeschiedenissen, geïnstalleerde applicaties en actieve processen, en controleerde of er 166 cryptowallet-browserextensies waren geïnstalleerd, waaronder MetaMask, Phantom, Coinbase Wallet, Binance Wallet en TronLink.

De malware gebruikte verschillende aanhoudingsmethoden afhankelijk van het besturingssysteem, zoals Windows Register Run-sleutels, macOS LaunchAgents en Linux systemd services.

Microsoft meldt dat systemen die met de command-and-control-servers van de aanvallers communiceerden, verdere activiteiten vertoonden die eerder met Sapphire Sleet in verband zijn gebracht.

Dit omvat de inzet van een PowerShell backdoor die eerder door de groep werd gebruikt, extra aanhoudingsmechanismen, uitsluitingen van Microsoft Defender en een kwaadaardige Windows-service die SYSTEEMprivileges verleende.

“De PowerShell backdoor, tactieken en C2-infrastructuur zijn in eerdere campagnes door Sapphire Sleet gebruikt,” legt Microsoft uit.

Sapphire Sleet is een door Noord-Korea gesponsorde dreigingsactor, bekend vanwege cryptocurrency-diefstalcampagnes, kwaadaardige browserextensies, nep-werkvoorstellen en software-supply chain-compromissen gericht op het stelen van inloggegevens en crypto-assets.

Microsoft zegt dat de groep ook verantwoordelijk was voor een afzonderlijke npm supply chain-aanval op de Axios HTTP-client in april 2026.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.