Die Shai-Hulud-Malwarekampagne hat sich erneut ausgeweitet, nachdem Angreifer mehr als 600 npm-Pakete bei einem neuen groß angelegten Supply-Chain-Angriff kompromittiert haben. Sicherheitsforscher erklärten, dass die schädlichen Pakete Entwicklerumgebungen, CI/CD-Systeme, Cloud-Zugangsdaten und Authentifizierungsgeheimnisse moderner Software-Workflows ins Visier nahmen.
Die aktuelle Kampagne verbreitete sich schnell innerhalb des npm-Ökosystems und betraf Pakete aus weit verbreiteten JavaScript-Entwicklungsumgebungen. Forscher warnen davor, dass die Operation eine weitere bedeutende Eskalation der laufenden Shai-Hulud-Malwarekampagne gegen Open-Source-Infrastrukturen darstellt.
Angreifer Veröffentlichten Hunderte Schädlicher npm-Pakete
Forscher erklärten, dass Bedrohungsakteure innerhalb kurzer Zeit Hunderte schädlicher Paketversionen veröffentlichten. Viele kompromittierte Pakete gehörten Berichten zufolge zum @antv-Ökosystem, das Bibliotheken für Graphvisualisierung, Diagramme, Karten und Frontend-Entwicklung umfasst.
Die Shai-Hulud-Malware konzentrierte sich besonders auf den Diebstahl sensibler Informationen aus Entwicklersystemen und CI/CD-Umgebungen. Ermittler erklärten, dass die Payload versuchte, GitHub-Zugangsdaten, Authentifizierungs-Token, Cloud-API-Schlüssel, Kryptowallet-Informationen und Konfigurationsdateien mit Geheimnissen zu sammeln.
Forscher entdeckten außerdem, dass Angreifer dezentrale Kommunikationskanäle nutzten, um gestohlene Daten zu exfiltrieren, wodurch Erkennung und Abschaltung der Infrastruktur deutlich schwieriger wurden. Einige Varianten verwendeten Berichten zufolge kompromittierte GitHub-Repositories als sekundäre Exfiltrationskanäle.
Die infizierten Pakete konnten während der Installation automatisch schädliche Skripte ausführen. Dadurch verbreitete sich die Malware schnell über vertrauenswürdige Entwicklungsprozesse und automatisierte Pipelines.
Die Shai-Hulud-Malware Entwickelt Sich Weiter
Der aktuelle Vorfall baut auf früheren Shai-Hulud-Wellen auf, die bereits Hunderte npm-Pakete und Tausende Repositories im Open-Source-Ökosystem kompromittierten.
Forscher erklärten, dass sich die Operation seit den ersten Kampagnen erheblich weiterentwickelt hat. Frühere Angriffe zielten Berichten zufolge auf Umgebungen rund um TanStack, Mistral AI, UiPath und andere große Softwareplattformen ab.
Ermittler warnten außerdem davor, dass neuere Shai-Hulud-Varianten stärkere Verschleierungstechniken, Persistenzmechanismen und erweiterte Funktionen zum Diebstahl von Cloud-Zugangsdaten und Entwicklerinformationen enthalten.
Einige Versionen versuchten Berichten zufolge, Persistenz über Entwicklerwerkzeuge und Betriebssystemdienste aufzubauen. Dadurch konnten Infektionen Neustarts und bestimmte Bereinigungsmaßnahmen überstehen.
Sicherheitsforscher gehen davon aus, dass die Angreifer die Malware kontinuierlich weiterentwickeln, um Tarnung zu verbessern, Verbreitung zu automatisieren und größere Mengen sensibler Informationen aus kompromittierten Umgebungen zu stehlen.
Supply-Chain-Angriffe Nehmen Weiter Zu
Die jüngste Shai-Hulud-Welle verdeutlicht die wachsenden Risiken von Supply-Chain-Angriffen gegen Open-Source-Ökosysteme. Moderne Anwendungen hängen häufig von Tausenden externen Paketen ab, wodurch Angreifer große Möglichkeiten erhalten, nachgelagerte Systeme über vertrauenswürdige Abhängigkeiten zu kompromittieren.
Forscher warnten davor, dass sich Supply-Chain-Angriffe extrem schnell ausbreiten können, weil schädliche Pakete automatisch über Entwicklungspipelines, Cloud-Umgebungen und Produktionssysteme propagiert werden, bevor jemand den Angriff entdeckt.
Sicherheitsexperten rieten Unternehmen dazu, Abhängigkeiten sofort zu überprüfen, potenziell kompromittierte Zugangsdaten zu rotieren und CI/CD-Umgebungen auf verdächtige Aktivitäten zu überwachen. Forscher empfahlen außerdem, automatische Abhängigkeitsupdates einzuschränken und Kontrollen rund um Paketveröffentlichungen zu verschärfen.
Der Vorfall zeigt zudem, warum Entwicklerökosysteme zu attraktiven Zielen für Cyberkriminelle geworden sind. Ein einziges kompromittiertes Paket kann potenziell Tausende Organisationen und Cloud-Umgebungen gleichzeitig gefährden.
Fazit
Die Shai-Hulud-Malwarekampagne wächst weiter, während Angreifer Hunderte npm-Pakete durch immer ausgefeiltere Supply-Chain-Angriffe kompromittieren. Forscher erklärten, dass die aktuelle Welle Entwicklersysteme, CI/CD-Umgebungen, Cloud-Zugangsdaten und Authentifizierungsgeheimnisse moderner Software-Workflows ins Visier nahm.
Der Vorfall zeigt außerdem, wie Cyberkriminelle ihre Supply-Chain-Techniken kontinuierlich verfeinern, um Malware schnell über vertrauenswürdige Open-Source-Ökosysteme zu verbreiten. Gleichzeitig bleiben Softwareabhängigkeiten tief in moderne Entwicklungsumgebungen integriert, wodurch der Druck auf Unternehmen wächst, Paketsicherheit zu stärken und Risiken durch Drittanbieter deutlich intensiver zu überwachen.


0 Kommentare zu „Shai-Hulud-Malware Befällt 600 npm-Pakete Bei Neuer Angriffswelle“