Socket schreibt die jüngste Welle einem wiederkehrenden Bedrohungscluster zu, der informell als TeamPCP geführt wird. Diese Gruppe betreibt Mini Shai-Hulud, eine Variante von Shai-Hulud. Der Name geht vermutlich auf den Sandwurm aus „Dune“ zurück; die ursprüngliche Malware infizierte erstmals im September 2025 Code-Pakete. Sie wurde so gebaut, dass sie Zugangsdaten stiehlt und Komponenten in anderer Software infiziert – ohne Zutun von Entwicklern oder Angreifern. In Kampagnen im November und Dezember desselben Jahres trat Shai-Hulud zudem mit einer neuen Wiper-Funktion auf.
Mini Shai-Hulud tauchte dann kürzlich mit fortgeschritteneren und aggressiveren Techniken auf. Die Variante stiehlt nicht nur Zugangsdaten und repliziert sich, sondern kann auch vertrauenswürdige Veröffentlichungswege kapern und während der Installation Schadcode ausführen. Dazu kompromittiert sie die Publishing-Zugangsdaten von Maintainern und schiebt automatisch trojanisierte Paket-Updates in Repositories unter deren Konten.
„Im Vergleich zum ursprünglichen Shai-Hulud-Wurm hat sich Mini Shai-Hulud stärker an die heutige Art der Paketveröffentlichung angepasst“, erklärt Raphael Silva, Sicherheitsforscher bei Aikido, gegenüber Dark Reading. Die neuere Aktivität setze noch stärker auf CI/CD und vertrauenswürdiges Veröffentlichen: Sie könne einen legitimen Arbeitsablauf missbrauchen und dennoch ein Paket erzeugen, das aussieht, als stamme es aus dem erwarteten Veröffentlichungsprozess.
Den Missbrauch des vertrauenswürdigen Veröffentlichens nennt Silva einen der unangenehmsten Aspekte dieser Welle. Das Verfahren solle eigentlich langlebige npm-Token aus Release-Abläufen entfernen: Ein GitHub-Actions-Workflow könne per OIDC ein kurzlebiges npm-Token anfordern, das Paket veröffentlichen und einen Herkunftsnachweis anhängen. Solange der Ablauf sauber sei, sei das positiv – „deutlich schlimmer wird es, wenn vom Angreifer kontrollierter Code innerhalb des Workflows läuft“.
Die neue Welle wirke gezielter und organisierter als der vorherige Auftritt der Variante, betont Silva. Sie sehe nicht danach aus, als veröffentliche jemand manuell schlechte Versionen; die Malware sei darauf ausgelegt, in Build-Systemen zu laufen, npm- und GitHub-Zugriffe zu stehlen und über vertrauenswürdige Veröffentlichungswege neue kompromittierte Pakete zu verbreiten.
Technisch nutzt Mini Shai-Hulud stark verschleierte JavaScript-Payloads und auf Bun basierende Ausführungstechniken, um klassische, auf Node.js ausgerichtete Sicherheitswerkzeuge zu umgehen. Manche Varianten verankern sich laut den Forschern dauerhaft über IDE-Integrationen und Hooks in Entwicklerwerkzeugen. „Was diese gesamte Shai-Hulud-Kampagne so gefährlich macht, ist die Kombination aus Diebstahl von Zugangsdaten und Selbstverbreitung“, sagt Silva. Ein einziger kompromittierter Runner oder Entwicklerrechner solle zum nächsten vergifteten Paket werden – der Schadensradius beschränke sich damit nicht auf denjenigen, der die Malware zuerst installiert habe.
Sowohl Socket als auch Aikido haben Listen der identifizierten bösartigen Artefakte und Pakete veröffentlicht. Da die Kampagne andauert, empfiehlt Socket weitere Maßnahmen: npm-Veröffentlichungsprotokolle auf unerwartete Veröffentlichungen prüfen – besonders auf Versionen, die von GitHub-Actions-Runnern stammen, ohne dass ein Teammitglied sie angestoßen hat; npm-, GitHub-, Cloud- und CI/CD-Zugangsdaten rotieren, die Build-Pipelines ausgesetzt waren; sowie Herkunftsprüfung, Paket-Allowlists und Abhängigkeitsüberwachung aktivieren. Zusätzlich sollten Entwickler nach unautorisierten Veröffentlichungen unter Maintainer-Konten suchen und ihre Endgeräte auf Spuren von Datendiebstahl oder Persistenz untersuchen.