MalwareSchwachstellenCyberkriminalität

Supply-Chain-Wurm "Mini Shai-Hulud" befällt große Open-Source-Projekte – TanStack, Mistral AI und weitere betroffen

Von CyberDeutsch Redaktion
Supply-Chain-Wurm "Mini Shai-Hulud" befällt große Open-Source-Projekte – TanStack, Mistral AI und weitere betroffen
Zusammenfassung

Eine massive Lieferkettenattacke hat mehrere beliebte Softwarepakete in den npm- und PyPI-Repositorys kompromittiert. Die Bedrohungsgruppe TeamPCP hat dabei unter der Bezeichnung „Mini Shai-Hulud" verschiedene Pakete von TanStack, Mistral AI, Guardrails AI, UiPath und anderen Entwicklern infiltriert. Die manipulierten Pakete enthalten Malware, die gezielt Anmeldedaten stiehlt – von Cloud-Provider-Zugängen über Kryptowallet-Schlüssel bis hin zu GitHub-Tokens und CI/CD-Systemen. Besonders bemerkenswert ist die Worm-ähnliche Ausbreitungsfähigkeit: Die Malware kann sich selbstständig auf weitere Pakete derselben Maintainer ausbreiten, indem sie npm-Tokens mit deaktivierter Zwei-Faktor-Authentifizierung ausnutzt. Das TanStack-Projekt wurde durch einen komplexen GitHub-Actions-Angriff kompromittiert, bei dem Angreifer OIDC-Tokens extrahierten und sogar gültige SLSA-Provenance-Zertifikate für die bösartigen Versionen generierten. Für deutsche Entwickler und Unternehmen stellt dies eine erhebliche Gefahr dar: Wer diese Pakete in seinen Projekten nutzt, könnte seine Cloud-Anmeldedaten, API-Keys und Geschäftsgeheimnisse gefährdet haben. Eine sofortige Überprüfung der Abhängigkeiten und ein Update auf sichere Versionen sind zwingend erforderlich.

Das Ausmaß der Kompromittierung ist erheblich: 42 verschiedene npm-Pakete und 84 Versionen wurden manipuliert. Die Schwachstelle CVE-2026-45321 erhielt die kritische CVSS-Bewertung von 9,6 Punkten. Der Malware-Code injiziert eine obfuskierte JavaScript-Datei namens “router_init.js”, die das Ausführungsumfeld analysiert und einen umfassenden Credential-Stealer aktiviert.

Die Angreifer nutzten eine ausgefeilte Angriffskett: Sie platzieren die Malware in einem GitHub-Fork, injizieren sie in npm-Tarballs und kapern dann das legitime GitHub-Actions-Workflow des Projekts, um kompromittierte Versionen mit echten Sicherheitsattestierungen zu veröffentlichen. Das ist der entscheidende Punkt: Weil die Pakete mit gültigen SLSA-Build-Level-3-Attestierungen signiert sind, passieren sie Sicherheitsprüfungen, die viele Entwickler durchführen. Dies ist das erste dokumentierte npm-Malware-Beispiel mit dieser Eigenschaft.

Der Wurm hat ein bemerkenswertes Feature: Er kann sich selbst verbreiten. Dazu sucht er npm-Token mit deaktivierter Zwei-Faktor-Authentifizierung, zählt alle von einem Maintainer veröffentlichten Pakete auf und tauscht GitHub-OIDC-Token gegen paketspezifische Veröffentlichungs-Token aus – ein Bypass der herkömmlichen Authentifizierung.

Bei PyPI-Paketen zeigt sich eine unterschiedliche Infektionsstrategie. Das kompromittierte mistralai-Paket lädt einen Remote-Credential-Stealer herunter, der eine schockierende geofeature enthält: eine 1-zu-6-Chance, den Befehl “rm -rf /” auszuführen, wenn sich das System in Israel oder Iran zu befinden scheint. Das guardrails-ai@0.10.1-Paket führt bösartigen Code bereits beim Import aus und laden eine Python-Datei herunter.

Die Daten werden über die Messaging-Plattform Session Protocol an “filev2.getsession[.]org” übertragen – eine Wahl, die Netzwerk-Sperren umgehen soll. Als Fallback committen die Angreifer Daten in GitHub-Repositories unter dem Namen “claude@users.noreply.github.com”.

Entwicklungsumgebungen werden ebenfalls manipuliert: Der Wurm etabliert Persistierungshaken in Claude Code und Visual Studio Code sowie ein gh-token-monitor-Service, das GitHub-Token kontinuierlich exfiltriert. Das stellt deutsche Unternehmen vor ein doppeltes Problem – nicht nur kompromittierte Abhängigkeiten, sondern auch langfristig infizierte Entwickler-Workstations.

Ähnliche Artikel