Untuk mengelabui korban, aktor ancaman menggunakan tiga teknik sosial. Pertama, typosquatting — memberi nama paket yang hanya berbeda satu atau dua huruf dari pustaka asli. Kedua, lookalike naming, seperti opensearch-setup-tool atau elastic-opensearch-helper, yang terdengar meyakinkan bagi developer yang sedang menyiapkan lingkungan pencarian.
Ketiga, penyerang memalsukan metadata upstream. Setiap paket tanpa lingkup (unscoped) mencantumkan homepage, repository, dan bugs yang mengarah ke repositori GitHub resmi OpenSearch. Mereka juga menggelembungkan nomor versi — melompat langsung ke 1.0.7265 atau 2.1.9201 — untuk menciptakan ilusi riwayat rilis yang matang.
Setelah developer menjalankan npm install, kode berbahaya langsung aktif melalui preinstall hooks. Microsoft mengidentifikasi dua generasi stager yang digunakan. Generasi pertama mengumpulkan informasi host — hostname, platform, arsitektur, versi Node, hingga direktori kerja — lalu mengirimkannya dalam format base64 ke server komando dan kendali (command-and-control) penyerang.
Server kemudian mengirimkan payload tahap kedua sebesar 195 KB yang ditulis ke file payload.bin. File ini dirancang untuk dijalankan ulang setiap kali modul dipanggil melalui require() — mekanisme persistensi senyap yang mampu bertahan di berbagai tahap build CI maupun siklus ulang pengembangan.
Generasi kedua lebih canggih. Alih-alih langsung berkomunikasi dengan server C2, ia memeriksa apakah runtime Bun sudah terinstal di sistem. Jika belum, ia mengunduh Bun versi 1.3.13 yang sah, lalu mengeksekusi payload pencuri kredensial yang menyasar AWS, HashiCorp Vault, npm, dan GitHub Actions.
Microsoft memperingatkan bahwa setelah mencuri token dan rahasia, penyerang dapat bergerak secara lateral di lingkungan cloud. Dari sana, mereka bisa mencuri data sensitif tambahan, bahkan mendorong pembaruan beracun ke paket lain yang dimiliki oleh akun maintainer yang dibajak. Artinya, serangan ini berpotensi meluas jauh melampaui 14 paket awal.
Semua pustaka berbahaya telah dihapus dari registri npm. Microsoft menerbitkan daftar lengkap 14 paket tersebut di blog resmi mereka. Pengguna yang memasang atau membangun versi paket yang terpengaruh pada atau setelah 28 Mei diminta untuk segera memeriksa sistem mereka dan memutar ulang token AWS IAM/STS, HashiCorp Vault, npm publish, serta GitHub Actions yang mungkin terekspos.