MalwareSchwachstellenCyberkriminalität

Mini Shai-Hulud: Massive Supply-Chain-Attacke betrifft über 1.800 Entwickler weltweit

Von CyberDeutsch Redaktion
Mini Shai-Hulud: Massive Supply-Chain-Attacke betrifft über 1.800 Entwickler weltweit
Zusammenfassung

Eine massive Lieferkettenkompromittierung hat über 1.800 Softwareentwickler getroffen und zeigt erneut die Verwundbarkeit kritischer Open-Source-Ökosysteme. Die von der Hackergruppe TeamPCP durchgeführte „Mini Shai-Hulud"-Attacke infizierte beliebte Pakete in PyPI, NPM und PHP – darunter die weit verbreiteten Bibliotheken Lightning und Intercom-Client mit kombiniert nahezu zehn Millionen monatlichen Downloads. Die Malware stiehlt sensible Entwickler-Zugangsdaten, API-Schlüssel, Tokens und Geheimnisse von kompromittierten Systemen, speichert diese in GitHub-Repositories und nutzt dabei eine clevere Fallback-Mechanik zur Kommunikation mit Command-and-Control-Servern. Besonders besorgniserregend ist, dass der Schädling speziell nach Kubernetes-Umgebungen und HashiCorp-Vault-Secrets sucht, was auf professionell organisierte Angreifer hindeutet. Für deutsche Entwickler, IT-Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, da viele deutsche Softwarefirmen und Organisationen von diesen populären Dependencies abhängen. Die Attacke demonstriert, wie Angreifer durch die Kompromittierung zentraler Entwicklerwerkzeuge Zugang zu tausenden Organisationen weltweit erlangen können – ein Szenario, das deutsche CISOs und Entwickler ernst nehmen müssen.

Die Mini-Shai-Hulud-Kampagne, benannt nach den Geheimnissen, die die Malware preisgibt, wurde am 29. April erstmals entdeckt. Sicherheitsforscher von Wiz, Socket und Ox Security dokumentierten eine hochkoordinierte Attacke, die mehrere Paket-Repositories in unterschiedlichen Ökosystemen infiltriert hat.

Den Anfang machten vier infizierte SAP-NPM-Pakete, die Informations-Stealing-Malware verbreiteten. Doch damit nicht genug: Die Angreifer setzten ihre Kampagne fort und kompromittierten die Lightning-PyPI-Pakete (Versionen 2.6.2 und 2.6.3) sowie die Intercom-Client-NPM-Pakete (Versionen 7.0.4 und 7.0.5). Ein besonders kritischer Fund war die Kompromittierung von Intercom-PHP (Version 5.0.2) über Packagist — ein Paket mit über 20 Millionen Downloads in der Gesamtheit.

Die Malware zeigt ausgefeilte Fähigkeiten: Sie sammelt Zugangsdaten, Verschlüsselungsschlüssel, Tokens und andere sensitive Secrets und publiziert diese über GitHub-Repositories mit der verdächtigen Beschreibung „A Mini Shai-Hulud has Appeared”. Sicherheitsfirmen identifizierten über 1.800 solcher Repository-Varianten.

Besonders bemerkenswert ist die Infrastruktur des Angriffs. Die Malware nutzt die Domain zero[.]masscan[.]cloud für Daten-Exfiltration und implementiert einen dynamischen Fallback-Mechanismus. Dieser durchsucht GitHub nach Commits mit spezifischen Strings wie ‚beautifulcastle’ und ‚EveryBoiWeBuildIsAWormyBoi’, um Command-and-Control-Befehle abzurufen.

Wiz-Analysen zeigen zusätzlich, dass die Intercom-Payload aktiv nach Kubernetes-Umgebungen und HashiCorp-Vault-Secrets sucht. Sie extrahiert systematisch AWS-Keys, GitHub- und NPM-Tokens, Datenbankverbindungsstrings, private Keys und API-Secrets von Diensten wie Stripe, Slack und Twilio. Auch VPN-Zugangsdaten, Krypto-Wallet-Daten und Discord-Session-Informationen stehen auf der Beute-Liste.

Diese Attacke ist eine Fortsetzung der Shai-Hulud-Kampagnen von Ende 2025 und unterstreicht die wachsende Gefahr von Supply-Chain-Angriffen. Deutsche Unternehmen sollten ihre Abhängigkeiten sofort überprüfen und betroffene Versionen deinstallieren. Das BSI könnte eine Warnung herausgeben — betroffene Organisationen müssen ihre Systeme auf Kompromittierung prüfen und potenziell gestohlene Credentials sofort rotieren.

Ähnliche Artikel