Die Shai-Hulud-Malwarekampagne breitet sich erneut aus, nachdem Forscher Hunderte kompromittierte npm- und PyPI-Pakete entdeckt haben, die mit der wachsenden Supply-Chain-Operation verbunden sind. Sicherheitsanalysten warnen davor, dass die Malware Entwicklerzugänge, CI/CD-Umgebungen, GitHub-Tokens und Cloud-Infrastrukturen großer Software-Ökosysteme angreift.
Die jüngste Aktivität betraf Berichten zufolge Pakete im Zusammenhang mit TanStack, Mistral AI, OpenSearch und Guardrails AI. Forscher bezeichnen die Operation inzwischen als einen der größten laufenden Supply-Chain-Angriffe auf Open-Source-Entwicklungsplattformen.
Angreifer Kompromittierten Hunderte Pakete
Forscher entdeckten schädlichen Code, der in Hunderten npm- und PyPI-Paketen versteckt war, die über vertrauenswürdige Software-Repositories verteilt wurden. Sicherheitsteams erklärten, dass die infizierten Pakete versuchten, sensible Zugangsdaten aus lokalen Entwicklungsumgebungen und automatisierten Deployment-Systemen zu stehlen.
Die Shai-Hulud-Malware konzentrierte sich vor allem auf GitHub-Tokens, Cloud-API-Schlüssel, Authentifizierungsgeheimnisse und CI/CD-Zugangsdaten. Ermittler fanden außerdem Varianten, die nach der ersten Infektion zusätzliche Payloads herunterladen konnten.
Laut Forschern halfen mehrere kompromittierte Pakete im Zusammenhang mit TanStack und Mistral AI dabei, die Malware innerhalb von Entwicklungsökosystemen zu verbreiten. Der schädliche Code wurde Berichten zufolge während der Installation oder des Imports von Paketen auf Linux-Systemen automatisch ausgeführt.
Sicherheitsanalysten erklärten, dass sich der Angriff schnell verbreitete, weil viele Entwickler Open-Source-Paketen vertrauen, ohne Abhängigkeitsketten gründlich zu prüfen. Nach der Installation sammelte die Malware unbemerkt Zugangsdaten und leitete die Informationen anschließend an eine von den Angreifern kontrollierte Infrastruktur weiter.
Die Shai-Hulud-Malware Entwickelt Sich Weiter
Forscher brachten den aktuellen Vorfall mit früheren Shai-Hulud-Kampagnen aus dem Jahr 2025 in Verbindung. Frühere Wellen infizierten Hunderte npm-Pakete und verbreiteten sich mithilfe gestohlener Entwicklerkonten zwischen verschiedenen Repositories.
Ermittler beschrieben die Operation bereits zuvor als eine der gefährlichsten Kompromittierungen der npm-Supply-Chain überhaupt. Frühere Infektionen betrafen Berichten zufolge Tausende GitHub-Repositories, die mit großen Entwicklungsprojekten und Cloud-Diensten verbunden waren.
Die neuesten Varianten wirken aggressiver und flexibler als frühere Versionen. Einige enthielten laut Berichten destruktive Funktionen, die Dateien löschen oder lokale Umgebungen beschädigen konnten, nachdem die Malware Zugangsdaten gestohlen hatte.
Forscher warnten außerdem davor, dass sich die Kampagne durch neue Paket-Uploads und modifizierte Payloads weiterentwickelt. Sicherheitsteams gehen davon aus, dass weitere infizierte Pakete weiterhin in öffentlichen Repositories aktiv sein könnten.
Entwickler Stehen Vor Wachsenden Supply-Chain-Bedrohungen
Die Shai-Hulud-Kampagne verdeutlicht die wachsenden Risiken moderner softwarebasierter Supply-Chain-Angriffe. Open-Source-Ökosysteme sind stark von Drittanbieter-Abhängigkeiten abhängig. Dadurch erhalten Angreifer die Möglichkeit, schädlichen Code schnell über vertrauenswürdige Umgebungen zu verbreiten.
Forscher forderten Entwickler auf, Abhängigkeiten sofort zu überprüfen und potenziell kompromittierte Zugangsdaten auszutauschen. Sicherheitsteams empfahlen außerdem, CI/CD-Systeme auf verdächtige Aktivitäten zu kontrollieren und automatische Updates von Abhängigkeiten einzuschränken, bis die Umgebungen als sicher gelten.
Mehrfaktor-Authentifizierung für Konten, die Pakete veröffentlichen, gewinnt ebenfalls zunehmend an Bedeutung. Angreifer nutzen häufig gestohlene Entwicklerkonten, um schädliche Updates in legitimen Repositories zu veröffentlichen.
Der Vorfall zeigt außerdem, warum KI- und Cloud-basierte Entwicklungsplattformen attraktive Ziele für Cyberkriminelle geworden sind. Ein einziges kompromittiertes Paket kann Tausenden nachgelagerten Projekten und Produktionssystemen Zugriff verschaffen.
Fazit
Die Shai-Hulud-Operation breitet sich weiterhin über npm- und PyPI-Ökosysteme aus und schafft erhebliche Risiken für Entwickler und Unternehmen weltweit. Durch die Kompromittierung vertrauenswürdiger Pakete erhielten Angreifer die Möglichkeit, Zugangsdaten zu stehlen, Cloud-Systeme zu infiltrieren und schädlichen Code über weit verbreitete Entwicklungsumgebungen zu verbreiten.
Forscher erwarten, dass sich die Kampagne weiterentwickelt, während Ermittler zusätzliche infizierte Pakete entdecken. Der aktuelle Vorfall unterstreicht die wachsende Bedeutung von Abhängigkeitsprüfungen, dem Schutz von Zugangsdaten und strengeren Sicherheitsmaßnahmen innerhalb moderner softwarebasierter Supply Chains.
0 Kommentare zu „Shai-Hulud-Malware Kompromittiert Hunderte npm-Pakete“