Die Sicherheitsanalyse zeigt ein koordiniertes und mehrstufiges Angriffsmuster. Während das Paket „axois-utils” als Träger eines Golang-basierten DDoS-Botnets namens Phantom Bot fungiert, das HTTP-, TCP- und UDP-basierte Angriffe durchführt und sich auf Windows- und Linux-Systemen festsetzt, konzentrieren sich die anderen drei Pakete auf Datendiebstahl.
Besonders bemerkenswert ist die Funktionsweise des „chalk-tempalte”-Pakets: Der Angreifer kopierte den Shai-Hulud-Code nahezu identisch, integrierte seinen eigenen Command-and-Control-Server (C2) unter der Adresse „87e0bbc636999b.lhr[.]life” ein und nutzte gestohlene GitHub-Token, um Daten in ein neues Public-Repository mit der Beschreibung „A Mini Sha1-Hulud has Appeared” hochzuladen. Die beiden anderen manipulierten Pakete „@deadcode09284814/axios-util” und „color-style-utils” stehlen SSH-Schlüssel, Umgebungsvariablen, Cloud-Anmeldedaten, Systeminformationen und Kryptowallet-Daten.
OX Security warnt vor einer bevorstehenden Welle von Supply-Chain-Angriffen. Die Veröffentlichung des Shai-Hulud-Codes habe die Einstiegshürde für Angreifer deutlich gesenkt und motiviere diese, mehrere Angriffstechniken parallel einzusetzen. Dies bestätigt frühere BSI-Analysen zur wachsenden Bedrohung durch typo-squatting und Abhängigkeitsmanipulation in Open-Source-Ökosystemen.
Entwickler sollten sofort handeln: Betroffene Pakete deinstallieren, IDE-Konfigurationen überprüfen, Secrets rotieren und GitHub-Repositories mit verdächtigen Beschreibungen melden. Unternehmen sollten ihre Software-Supply-Chain-Prozesse überprüfen und Netzwerkzugriff auf die genannten C2-Adressen blockieren.