Snilld

Gyldige certifikater og stjålne konti gjorde Sigstore-badges misvisende

VentureBeat beskriver, at 633 ondsindede npm-versioner passerede Sigstore-provenance 19. maj, fordi angribere udstedte gyldige certifikater via kompromitterede maintainer-konti. Dagen før blev Nx Console-udvidelsen kortvarigt kompromitteret; ifølge VentureBeat/StepSecurity viste Nx’ interne telemetri cirka 6.000 aktiveringer i vinduet mod 28 officielle downloads. Endor Labs rapporterede 42 forfalskede Sigstore-badges i @antv-økosystemet i et kort tidsrum. Tallene er kildeafhængige snapshots og ikke en endelig totalsum.

23. maj 2026 Peter Munkholm

VentureBeat rapporterer, at 633 ondsindede npm-pakkeversioner passerede Sigstore-provenance 19. maj, fordi angribere kunne generere gyldige signeringscertifikater via kompromitterede maintainer-konti. Ifølge samme kilde gjorde det, at pakkerne blev clearet af de automatiske signaler, selv om indholdet var skadeligt. Sigstore udførte her, hvad systemet er designet til at gøre: bekræfte, at artefakter er bygget i et CI-miljø, at et gyldigt certifikat er udstedt, og at begivenhederne er logget i gennemsigtighedsloggen. VentureBeat understreger, at Sigstore ikke kan afgøre, om credential-holderen faktisk havde autorisation til at publicere på det tidspunkt.

En dag tidligere, 18. maj, dokumenterede StepSecurity en kompromittering af Nx Console-udvidelsen til VS Code. Ifølge VentureBeat blev version 18.95.0 publiceret med stjålne credentials og var live i under 40 minutter. VentureBeat skriver, at Nx’ interne telemetri viste cirka 6.000 aktiveringer i vinduet, primært via auto-opdatering, sammenholdt med 28 officielle downloads.

Hvad Sigstore faktisk validerer

Ifølge VentureBeat og Sigstores dokumentation omfatter modellen udstedelse af kortlivede certifikater via Fulcio, registrering i gennemsigtighedsloggen Rekor og brug af attester (provenance) til at beskrive build-kontekst. Når en pakke fremstår med gyldig provenance, betyder det, at der findes en attest for buildet, certifikatet var gyldigt, og at der er et spor i loggen. Det er ikke en afgørelse af udgiverens autorisation i selve registryet (kilder: VentureBeat, sigstore.dev).

VentureBeat pointerer, at i hændelsen 19. maj virkede Sigstore som designet, men at angribernes adgang til kompromitterede konti gjorde de automatiske signaler grønne, selv om indholdet var skadeligt. I den kontekst fremstod provenance-badges misvisende, fordi autorisationen til at udgive ikke indgår i Sigstores validering.

Tæt billede af en slidt hardware-sikkerhedsnøgle hængende i en servicelåge; indigo/grøn belysning og en subtil data-pulsgrafik.

Forløb og metode ifølge kilderne

VentureBeat beskriver, at kampagnen blev observeret på npm 19. maj fra 01.39 UTC. Endor Labs rapporterer, at den første bølge blev opdaget, da to dvalepakker, jest-canvas-mock og size-sensor, pludselig udgav nye versioner med et obfuskeret 498 KB Bun-script, og at ingen af dem havde været opdateret i over tre år. Endor Labs skriver også, at 42 ondsindede npm-pakker i @antv-økosystemet mellem 01.39 og 02.06 UTC forfalskede gyldige Sigstore-badges.

Banner

VentureBeat refererer desuden, at ormen på få minutter spredte sig på tværs af @antv-økosystemet og en række unscoped pakker, og at Socket målte 639 kompromitterede versioner på tværs af 323 unikke pakker i netop den bølge. På kampagnens tværs rapporterer VentureBeat, at Socket fulgte 1.055 ondsindede versioner på tværs af 502 pakker og flere registries.

Nx Console-hændelsen som særskilt spor

StepSecuritys observation, gengivet af VentureBeat, var at den ondsindede Nx Console-version 18.95.0 var tilgængelig i under 40 minutter, men at aktiveringerne i den korte periode nåede cirka 6.000. VentureBeat skriver, at fordelingen hovedsageligt skete via auto-opdatering, og at de officielle downloads i samme vindue var 28. Ifølge VentureBeat omfattede payloaden indsamling af følsomme nøgler og tokens, herunder Claude Code-konfigurationer, AWS-nøgler, GitHub- og npm-tokens, 1Password-indhold og Kubernetes service account tokens.

VentureBeat anfører endvidere, at StepSecurity bekræftede, at payloaden omfattede fuld Sigstore-integration, altså at angriberen ikke alene kunne publicere med stjålne credentials, men også signere, så provenancesignaler fremstod korrekte.

Tal og divergenser

Kilderne rapporterer forskellige optællinger, som afspejler forskellige snapshots og scope. Ifølge VentureBeat passerede 633 npm-versioner Sigstore 19. maj. Socket, som refereret af VentureBeat, målte 639 versioner på tværs af 323 pakker i en konkret bølge, mens Socket samlet trackede 1.055 ondsindede versioner på tværs af 502 pakker og flere registries. Endor Labs rapporterer 42 ondsindede npm-pakker i @antv-økosystemet i tidsrummet 01.39–02.06 UTC.

En endelig opgørelse af totalsummer vil forudsætte åbne logudtræk fra relevante registries og Sigstores Rekor-logs. Indtil da bør tallene læses med eksplicit kildeangivelse.

Operations-panel med anonymiserede noder og farvekodede pins der viser pakke-flow mellem registries, indigo og cyan accenter og subtile data-pulser.

Attribution og navngivning

VentureBeat skriver, at kampagnen Mini Shai-Hulud tilskrives af flere forskere en økonomisk motiveret aktør omtalt som TeamPCP. Endor Labs omtaler ligeledes Mini Shai-Hulud i deres gennemgang. VentureBeat håndterer attribution som forskerbaseret tilskrivning, ikke som retligt bevis.

Banner

Hvorfor provenance ikke afgjorde autorisation

Ifølge VentureBeat bekræftede Sigstore den tekniske bygge- og signeringskæde, men ikke relationen mellem credential-holder og retten til at publicere på tidspunktet. Dermed kunne angribere med kompromitterede maintainer-konti fremstå legitime i de automatiske signaler. VentureBeat beskriver dette som et hul mellem teknisk integritet og udgiverautorisation.

VentureBeat sammenfatter derfor, at provenance er et stærkt signal om hvordan og hvor en pakke blev bygget, men ikke en garanti for hvem der burde have bygget eller udgivet den. I den konkrete hændelse blev det forskelspunkt udnyttet.

Konsekvenser ifølge kilderne

Med udgangspunkt i VentureBeat og Endor Labs’ beskrivelser er konsekvensen, at automatiske tillidsmarkører kan misforstås, når identiteter er kompromitteret. VentureBeat fremhæver, at Sigstore fungerede som designet, men at angrebet gjorde badges til camouflage i netop dette scenarie. Endor Labs’ eksempel med to pludseligt opdaterede dvalepakker fremhæves som et usædvanligt publiceringsmønster, der kan fungere som signal, når værktøjer og overvågning ser det.

For Nx Console-hændelsen viser de tal, VentureBeat gengiver fra StepSecurity og Nx’ telemetri, at auto-opdatering i udviklerværktøjer kan forstørre effekten på kort tid. Det illustrerer, at spredning kan ske hurtigt, også når en ondsindet udgivelse kun er live i et lille vindue.

Detaljebillede af to respondenter i en korridor der udveksler en sløret, forsejlet beviserkuvert; indigo/cyan lys og en diskret data‑pulse.

Opsummering af kildedækkede nøglepunkter

  • 633 ondsindede npm-versioner passerede Sigstore 19. maj (VentureBeat).
  • Angriberne brugte kompromitterede maintainer-konti til at udstede gyldige certifikater og få green badges (VentureBeat).
  • Sigstore bekræfter CI-build, gyldig certifikatudstedelse og logføring i Rekor, men afgør ikke udgiverautorisation (VentureBeat; Sigstore-dokumentation).
  • Nx Console 18.95.0 var live i under 40 minutter; cirka 6.000 aktiveringer mod 28 officielle downloads i vinduet (VentureBeat/StepSecurity, baseret på Nx’ interne telemetri).
  • Payloaden samlede bl.a. Claude Code-konfigurationer, AWS-nøgler, GitHub- og npm-tokens, 1Password-indhold og Kubernetes service account tokens (VentureBeat).
  • Mini Shai-Hulud tilskrives af flere forskere TeamPCP (VentureBeat; Endor Labs omtaler kampagnen).
  • Endor Labs observerede de første droppers i to dvalepakker med et obfuskeret 498 KB Bun-script og rapporterede 42 pakker i @antv-økosystemet i et 27-minutters vindue (Endor Labs).
  • Socket talte 639 versioner på tværs af 323 pakker i bølgen og 1.055 versioner på tværs af flere registries over hele kampagnen (VentureBeat).

Glossary

Sigstore: Et økosystem til signering og verifikation af softwareartefakter med kortlivede certifikater og gennemsigtighedslogs.

Fulcio: Sigstores certifikatudsteder, som knytter identiteter til kortlivede certifikater.

Rekor: Sigstores gennemsigtighedslog, der registrerer signaturer og attester.

Provenance-badge: En indikator for, at der findes en attest om buildet og dets kontekst; ikke en afgørelse af udgiverautorisation.

Kilder

    Gør brugeroplevelsen bedre.
    Hvilket firma arbejder du for?