MalwareSchwachstellenCyberkriminalität

Shai-Hulud-Wurm: Erste Klone bedrohen NPM-Entwickler

Von CyberDeutsch Redaktion
Shai-Hulud-Wurm: Erste Klone bedrohen NPM-Entwickler
Zusammenfassung

Die gefährliche Shai-Hulud-Malware, die bereits in mehreren Angriffen auf die Open-Source-Softwarewelt verwendet wurde, hat sich nach der Veröffentlichung ihres Quellcodes zu einem noch größeren Problem entwickelt. Wenige Tage nachdem die Hackergruppe TeamPCP den Malware-Code auf GitHub freigegeben hatte, sind bereits erste Klone des Wurms in aktiven Cyberangriffen gegen NPM-Entwickler aufgetaucht. Die ursprüngliche Shai-Hulud wurde erstmals im September 2025 in Supply-Chain-Angriffen eingesetzt und infizierte seitdem hunderte Open-Source-Pakete und Tausende von Entwicklern weltweit. Das Schadprogramm stiehlt Anmeldedaten, API-Schlüssel und andere sensitive Informationen, um sich selbst in den Projekten der Opfer einzuschleusen und manipulierte Versionen zu verbreiten. Besonders besorgniserregend ist, dass Cyberkriminelle die veröffentlichte Malware-Basis nun als Grundlage für eigene Angriffe nutzen. Deutsche Softwareentwickler, insbesondere jene, die NPM-Pakete nutzen oder selbst veröffentlichen, sind dieser Bedrohung direkt ausgesetzt. Auch Unternehmen, die auf Open-Source-Komponenten setzen, müssen mit erheblichen Sicherheitsrisiken rechnen, da kompromittierte Abhängigkeiten zu weit verbreiteten Sicherheitslücken führen können.

Der Shai-Hulud-Wurm avanciert zur Blaupause für kriminelle Nachahmer. Nachdem TeamPCP und Akteure auf BreachForums den Quellcode des Schädlings öffentlich machten und explizit zu dessen Verwendung in neuen Supply-Chain-Angriffen aufforderten, zeigen sich die Auswirkungen sofort. Ox Security dokumentiert bereits mindestens vier neue NPM-Pakete mit infostealer-Malware, darunter ein direkter Klon des ursprünglichen Wurms.

Die gefährlichste Variante trägt den getäuschenden Namen „chalk-tempalte” – ein Play auf das populäre Formatierungs-Paket „chalk”. Sie ist unverschlüsselt, enthält den quasi-identischen Shai-Hulud-Code und nutzt einen eigenen Command-and-Control-Server sowie einen privaten Schlüssel. Das Muster ist unverkennbar: Gestohlene Zugangsdaten werden in ein neues GitHub-Repository hochgeladen, genau wie in früheren Shai-Hulud-Kampagnen.

Die anderen drei Pakete nutzen Typosquatting-Techniken, um Nutzer des beliebten HTTP-Clients Axios zu infizieren. Eine davon integriert kompromittierte Maschinen sogar in ein DDoS-Botnetz ein. Zusammen haben diese vier Pakete über 2.600 wöchentliche Downloads generiert – ein alarmierendes Volumen.

Experten warnen vor einer koordinierten Eskalation: Ein einzelner Akteur deployedmultiple Malware-Techniken und verschiedene Infostealer-Typen gleichzeitig. Dies deute auf die erste Phase einer massiven Welle weiterer Supply-Chain-Angriffe hin. Das ist besonders besorgniserregend, weil die Infrastruktur now vollständig democratisiert wurde.

Für die deutsche Digitalwirtschaft ergibt sich daraus ein doppeltes Dilemma. Erstens müssen Entwickler und DevOps-Teams in Deutschland ihre Paket-Abhängigkeiten deutlich strenger prüfen und eine Software Bill of Materials (SBOM) führen – das BSI empfiehlt dies zudem im Kontext seiner Cybersicherheitsstrategie. Zweitens: Falls Credentials von deutschen Unternehmen gestohlen werden, greift die DSGVO-Meldepflicht (Artikel 33). Verzögerungen oder Verschleierung können zu Bußgeldern bis zu vier Prozent des Jahresumsatzes führen.

Der Incident zeigt, warum der Quellcode-Schutz in der Open-Source-Community kritisch ist und warum automatisierte Scanning-Tools sowie strenge Code-Review-Prozesse längst Standard sein sollten. Unternehmen sollten zudem ihre Supplier und Abhängigkeiten kontinuierlich monitoren.

Ähnliche Artikel