Microsoft ziet npm-malware crypto-ontwikkelaars aanvallen via Hugging Face

Microsoft Threat Intelligence waarschuwt dat twee npm-pakketten, [email protected] en [email protected], crypto-ontwikkelaars raken via een route die juist veilig lijkt: Hugging Face. De JavaScript-pakketten droppen volgens Microsoft een RAT die toetsaanslagen, screenshots en cryptowalletgegevens kan stelen, terwijl de buit via het vertrouwde AI-platform wegloopt.

Dat is de echte breuk. Niet de wallet staat eerst in de vuurlinie. De ontwikkelaar wel.

npm is voor JavaScript wat water is voor een bouwplaats. Ontwikkelaars halen er pakketten uit, vaak tientallen of honderden per project. Tradingbots, DeFi-dashboards en walletinterfaces leunen erop.

Daar zit de pijn.

Een besmet pakket hoeft niet te wachten tot een app live staat. De aanval start al tijdens het installeren. Microsoft beschreef de bredere techniek deze week opnieuw: install-scripts in npm kunnen automatisch code draaien via hooks zoals preinstall of postinstall. Een ontwikkelaar voert één commando uit. De malware krijgt zijn kans.

Bij deze nieuwe melding draait het om twee specifieke pakketten. Microsoft noemt [email protected] en [email protected] als gecompromitteerd. De RAT kan meekijken, toetsaanslagen vangen en walletgegevens zoeken. Dat raakt vooral machines waarop developers ook browserwallets, seed phrase-bestanden, GitHub-tokens of exchange-API-sleutels bewaren.

Slecht idee. Nog steeds te vaak normaal.

De aanvallers misbruiken Hugging Face als dekmantel voor data-exfiltratie. Dat betekent niet dat Hugging Face zelf als platform gehackt is. Het punt is subtieler en gevaarlijker: verkeer naar een bekend AI-platform oogt in veel teams normaal.

Voor AI- en Web3-teams geldt dat dubbel. Zij halen modellen, datasets en tooling binnen via vertrouwde platformen. Een firewall die alleen kijkt naar domeinnamen mist dan de kern. huggingface.co kan legitiem zijn. Het kan ook de afvoerroute zijn.

Microsoft vatte het zelf scherp samen: “Compromised npm packages” misbruiken Hugging Face-repositories als infrastructuur voor exfiltratie. Die zin is technisch, maar helder genoeg. De aanval lift mee op vertrouwen.

Dat maakt detectie lastiger. Een onbekende server in Rusland valt op. Een AI-platform in een ontwikkelomgeving veel minder.

Deze waarschuwing staat niet los. Microsoft meldde op 28 mei 2026 al een actieve npm-aanval waarbij één actor binnen vier uur 14 kwaadaardige pakketten publiceerde. Die pakketten deden zich voor als OpenSearch-, ElasticSearch-, DevOps- en configuratietools. Na installatie zochten ze naar AWS-gegevens, HashiCorp Vault-tokens, GitHub Actions-context en npm publish-tokens.

Een dag later volgde nog een Microsoft-analyse. Daarin ging het om 33 kwaadaardige npm-pakketten die via dependency confusion echte interne bedrijfsnamen nabootsten. Microsoft zag scopes die leken op interne namespaces, nepmetadata voor GitHub Enterprise en Jira, plus kunstmatig hoge versienummers. Eén pakket deed zich zelfs voor als SberPay-widget. Dat maakt de financiële sector expliciet relevant.

De lijn is duidelijk. Aanvallers willen niet meer alleen de eindgebruiker misleiden. Ze willen de softwareketen in. Eén ontwikkelaar kan genoeg zijn.

CryptoBenelux schreef eerder al over npm-supply-chain-risico’s na een waarschuwing van Ledger-CTO Charles Guillemet. Ook toen draaide het om JavaScript-pakketten die op grote schaal vertrouwen misbruikten. De nieuwe Microsoft-melding past in dat patroon, maar verschuift de focus naar ontwikkelmachines met AI- en cryptotooling naast elkaar.

Voor cryptoprojecten ligt de lat hoger dan bij een gewone webapp. Een ontwikkelaarslaptop bevat vaak toegang tot repositories, deploy-scripts, testwallets, analytics, dashboards en soms zelfs productie-API’s.

Dat hoort niet.

Teams moeten lockfiles direct controleren op utils-terminal en logger-active, vooral op versie 3.2.1. Buildlogs verdienen dezelfde aandacht. Wie een hit vindt, moet niet alleen het pakket verwijderen. Bij een RAT telt de machine als besmet totdat het tegendeel hard vaststaat.

Microsoft raadt bij soortgelijke npm-campagnes aan om lockfiles, buildlogs en package-versies te controleren, install-scripts waar mogelijk uit te zetten met --ignore-scripts, bekende goede versies vast te pinnen en mogelijk gelekte credentials te roteren. Die lijn past hier ook.

Voor Web3-teams komt daar iets bij. Verwijder browserwallets van ontwikkelmachines. Bewaar seed phrases nooit op laptops die packages bouwen. Scheid GitHub-toegang, exchange-API-sleutels en walletbeheer. Niet morgen. Nu.

Een package manager is geen neutraal hulpprogramma meer. In crypto is het toegang tot geld.