MalwareHackerangriffeSchwachstellen

Geleakte Shai-Hulud-Malware: Neue npm-Angriffe gefährden Entwickler weltweit

Von CyberDeutsch Redaktion
Geleakte Shai-Hulud-Malware: Neue npm-Angriffe gefährden Entwickler weltweit
Zusammenfassung

Der kürzlich geleakte Shai-Hulud-Malware wird bereits aktiv in neuen Angriffen auf das Node Package Manager (npm)-Repository eingesetzt. Am vergangenen Wochenende entdeckte das Sicherheitsunternehmen OXsecurity vier bösartige Pakete, die von einem Angreifer mit dem Account deadcode09284814 hochgeladen wurden. Das Malware-Arsenal wurde nun um klone des ursprünglichen Schadcodes erweitert und zielt gezielt auf Entwickler ab: Gestohlen werden Anmeldedaten, API-Schlüssel, Kryptowallet-Informationen und sensible Konfigurationsdaten. Besonders bemerkenswert ist, dass ein Paket zusätzlich DDoS-Funktionalität implementiert und infizierte Systeme in ein Botnet verwandelt. Die Angreifer nutzen dabei Typosquatting-Techniken mit absichtlich falsch geschriebenen Paketnamen, um Entwickler zu täuschen. Mit insgesamt 2.678 Downloads haben die kompromittierten Pakete potenziell eine große Zahl von Systemen erreicht. Für deutsche Softwareentwickler und Unternehmen stellt dies ein erhebliches Risiko dar, da viele npm-Pakete in deutschen Tech-Projekten verwendet werden. Die Sicherheitslücke unterstreicht erneut die Vulnerabilität von Software-Supply-Chains und die Notwendigkeit rigeroser Kontrollmaßnahmen in Entwicklungsprozessen.

Die Bedrohung durch die Shai-Hulud-Malware wird immer konkreter. Nachdem die Malware vor etwa einer Woche auf GitHub geleakt wurde – angeblich mit einer Nachricht der Hacker-Gruppe TeamPCP: „Here We Go Again - Let the Carnage Continue” – nutzen nun Angreifer die offengelegte Quelle unmittelbar für neue Kampagnen.

Die vier entdeckten npm-Pakete zeigen klassische Merkmale einer Supply-Chain-Attacke. Das Paket „chalk-tempalte” ist eine direkte Kopie des geleakten Shai-Hulud-Codes ohne Verschleierung – ein ungewöhnliches Merkmal, das OXsecurity zur Vermutung führt, dass die aktuellen Angreifer nicht mit der ursprünglichen TeamPCP-Gruppe identisch sind. Der Quellcode wurde praktisch unverändert wiederverwendet, was auf eine schnelle, eher opportunistische Reaktion hindeutet.

Die Malware-Funktionalität ist breit gefächert: Alle vier Pakete exfiltrieren Anmeldedaten, Konfigurationsdateien und Secrets zu einem Command-and-Control-Server unter der Adresse 87e0bbc636999b[.]lhr[.]life. Besonders perfide ist die Funktion, gestohlene Credentials automatisch in öffentliche, automatisch generierte GitHub-Repositories hochzuladen – was die Verfolgung durch Ermittler erschwert.

Das Paket „axois-utils” hebt sich durch zusätzliche DDoS-Fähigkeiten ab. Es unterstützt HTTP-, TCP- und UDP-Floods sowie TCP-Reset-Attacken und enthält interne Verweise auf einen „Phantom Bot”. Dies deutet auf eine Infrastruktur hin, die Systeme für verteilte Denial-of-Service-Angriffe missbrauchen kann.

Die Verwendung von Typosquatting – absichtlich falsch geschriebene Paketnamen wie „axois-utils” statt „axios” – ist eine bewährte Taktik, um Entwickler versehentlich zum Download bösartiger Software zu verleiten. Gerade unter Zeitdruck ist es leicht, einen Buchstabendreher zu übersehen.

Für deutsche Entwickler und Unternehmen empfiehlt OXsecurity dringende Maßnahmen: Wer diese Pakete installiert hat, sollte diese sofort entfernen und alle Credentials sowie API-Keys auf betroffenen Systemen rotieren. Das BSI und die Sicherheitscommunity sollten schnell aktuelle Listen der gefährlichen Pakete veröffentlichen.

Die Shai-Hulud-Kampagne zeigt ein wachsendes Problem: Mit veröffentlichtem Malware-Code sinkt die technische Hürde für Nachahmer drastisch. Die Entwickler-Community muss stärker für diese Risiken sensibilisiert werden.

Ähnliche Artikel