Patrick Münch, Chief Security Officer beim Schwachstellenmanagement-Anbieter Mondoo, beschrieb in einem Forschungsbeitrag einen konkreten Fall: Ein Akteur habe von einem einzigen NPM-Konto aus vier schädliche Pakete hochgeladen — eine nahezu wortgetreue Kopie von Shai-Hulud mit eigener Command-and-Control-Infrastruktur, drei Axios-Typosquats sowie eine Schadlast für ein DDoS-Botnetz, das infizierte Rechner in ein Flooding-Netzwerk einreiht.

Die wöchentlichen Downloads aller dieser Pakete zusammen liegen bei lediglich rund 2.600. Münch zufolge ist die eigentliche Bedeutung jedoch eine andere: Shai-Hulud sei der Prototyp eines „neuen Paradigmas automatisierter Lieferkettenangriffe, das die Identität von Entwicklern und das in moderne CI/CD-Pipelines eingebaute implizite Vertrauen ausnutzt". Typosquatting sei dabei nur die erste Stufe — ein erfolgreicher Ableger verbreite sich anschließend, indem er Entwicklerkonten kompromittiert und vertrauenswürdige Pakete mit Schadsoftware versieht.

Als besonders „unangenehmes Detail" hob Münch hervor, dass sich der C2-Server und der Signierschlüssel offenbar ohne nennenswerte Folgen austauschen lassen. Der auffälligste Klon, veröffentlicht als „chalk-tempalte" — ein Typosquat des verbreiteten Pakets chalk-template —, sei eine fast direkte Kopie des geleakten Quellcodes. Der Angreifer habe lediglich seinen eigenen C2-Endpunkt und seinen eigenen Signierschlüssel eingesetzt, auf jede Verschleierung verzichtet und das Paket ausgeliefert — und es habe funktioniert.

Die Infostealer im Hintergrund unterschieden sich zwischen den vier Paketen: Einer glich der Open-Source-Variante von Shai-Hulud, die übrigen drei wichen in ihren Fähigkeiten ab. Mondoo betont, die verschiedenen Infostealer wirkten „maschinell zusammengesetzt" — ein Angreifer könne so mit geringem Aufwand mehrere Schadlasten erzeugen und vier verschiedene Schadpakete gleichzeitig betreiben.

Adrian Culley, Senior Sales Engineer bei SafeBreach, ordnet die Veröffentlichung gegenüber Dark Reading weniger als Imponiergehabe ein, sondern als Marketingkampagne für ein Geschäft als Zugangshändler. So sei der C2 der Schadsoftware standardmäßig an die Infrastruktur von TeamPCP gekoppelt. „Die Open-Source-Freigabe verwischt die Zuordnung hinter einer Welle von Nachahmern, der BreachForums-Wettbewerb ist ein Lockangebot zur Anwerbung unbezahlter Verbreiter, und jeder C2, den diese Teilnehmer aufsetzen, speist weiterhin Zugangsdaten in die Monetarisierungskette von TeamPCP", sagt er. „Es geht nicht um den Wurm. Es geht darum, die Verteidiger zu überlasten, während die Zugangsdaten durch die Hintertür verschwinden."

Im vergangenen Jahr hätten Verteidiger Shai-Hulud schlagen können, weil sie es jeweils mit einem einzigen Wurm zu tun hatten, so Culley. „Von hier an jagen sie eine ganze Population — Varianten mit unterschiedlichem C2, unterschiedlichen Schlüsseln, unterschiedlichen Schadlasten, mit genug gemeinsamer DNA, um gefährlich zu sein, aber nicht genug, um Signaturen zu teilen."

Laut Mondoo lässt sich die Bedrohung durch Shai-Hulud und seine Klone entschärfen, indem in der Paketverwaltung drei Kontrollen aktiviert werden: Lifecycle-Skripte standardmäßig blockieren, eine Abklingzeit vor der Freigabe erzwingen und Vertrauensherabstufungen erkennen. Darüber hinaus solle man die CI/CD-Pipeline als Angriffsfläche behandeln, prüfen, welche Abhängigkeiten tatsächlich Codeausführung zur Installationszeit benötigen, und sämtliche Zugangsdaten rotieren, die mit den betroffenen Paketen in Berührung kamen. Niedrige Downloadzahlen seien kein Grund zur Entwarnung: Dieselben Techniken würden bereits von noch nicht erkannten Akteuren angewendet.