Laut Ox Security wurden im Zuge der Mini-Shai-Hulud-Angriffe über 1.800 Repositories angelegt, die gestohlene Entwickler-Zugangsdaten enthalten. Der Informationsdieb gelangte konkret in die Lightning-Python-Versionen 2.6.2 und 2.6.3 sowie in das NPM-Paket intercom-client in den Versionen 7.0.4 und 7.0.5.
Darüber hinaus weitete sich der Angriff auf Packagist aus: Betroffen war intercom-php in der Version 5.0.2 – ein verbreitetes PHP-Paket, das über seine Laufzeit auf mehr als 20 Millionen Downloads kommt. Wie Socket berichtet, war die Kompromittierung von Intercom eine direkte Folge des Lightning-Angriffs: Eine lokale Paketinstallation nutzte das infizierte Lightning-PyPi-Paket als Abhängigkeit.
Gegenüber dem ursprünglichen SAP-Vorfall haben die Angreifer ihren Schadcode erweitert. Nach Beobachtung des Sicherheitsunternehmens Wiz ergänzte die Lightning- und Intercom-Schadlast eine eigene Infrastruktur zur Datenausschleusung über die Domain zero[.]masscan[.]cloud. Zusätzlich enthält der Code laut NetSkope einen dynamischen Ausweichmechanismus, der GitHub nach Commits durchsucht, die die Zeichenketten „beautifulcastle" und „EveryBoiWeBuildIsAWormyBoi" enthalten, um darin eingebettete Steuerbefehle (Command-and-Control) abzurufen.
Wiz beobachtete zudem, dass die intercom-client-Schadlast aktiv nach Kubernetes-Umgebungen und HashiCorp-Vault-Geheimnissen sucht. „Sie fragt Kubernetes-Service-Endpunkte und Vault-Konfigurationen ab und nutzt umfangreichen, auf regulären Ausdrücken basierenden Abgleich, um Zugangsdaten zu extrahieren – etwa AWS-Schlüssel, GitHub- und npm-Tokens, Datenbank-Verbindungszeichenfolgen, private Schlüssel und API-Geheimnisse, beispielsweise von Stripe, Slack und Twilio", so Wiz.
Nach Angaben von Aikido zielt der Informationsdieb außerdem auf VPN-Zugangsdaten, Daten von Kryptowährungs-Wallets sowie Sitzungsdaten von Discord und Slack.