Die Attacke-Kampagne mit dem Namen Mini Shai-Hulud folgt einem etablierten Muster: Angreifer kompromittieren die Maintainer-Konten populärer Pakete und veröffentlichen in schneller Abfolge trojanisierte Versionen. Dieses Mal wurden über 22 Minuten verteilt 637 malware-infizierte Versionen automatisiert publiziert – ein Zeichen der industrialisierten Natur dieser Cyberattacke.
Die betroffenen Pakete umfassen zentrale Komponenten des @antv-Ökosystems: @antv/g2, @antv/g6, @antv/x6, @antv/l7, @antv/s2, @antv/f2, @antv/g, @antv/g2plot, @antv/graphin und @antv/data-set. Zusätzlich wurden populäre verwandte Pakete wie timeago.js, size-sensor und canvas-nest.js infiziert. Die Malware ist perfide gestaltet: Sie stiehlt über 20 verschiedene Arten von Anmeldedaten – darunter AWS-, Google-Cloud-, Microsoft-Azure-, GitHub- und npm-Token sowie SSH-Schlüssel, Kubernetes-Credentials und Datenbank-Verbindungszeichenfolgen.
Besonders bemerkenswert ist die Infrastruktur der Datenexfiltration. Das Stealer-Modul serialisiert, komprimiert und verschlüsselt die gesammelten Daten und sendet sie an t.m-kosche[.]com:443. Als Fallback-Mechanismus nutzen die Angreifer gestohlene GitHub-Token, um öffentliche Repositorys unter den Opfern-Accounts zu erstellen und dort die Daten zu ablegen. Über 2.500 solcher verdächtigen Repositorys wurden bereits identifiziert – ein Indikator für die Dimension des Schadens.
Nach Einschätzung von Sicherheitsexperten ist die Gruppe TeamPCP für diese Kampagne verantwortlich, ein finanziell motivierter Threat-Actor. Besorgniserregend ist eine neue Eskalation: TeamPCP hat den vollständigen Quellcode des Malware-Wurms freigegeben und veranstaltet über BreachForums einen “Supply-Chain-Attack-Wettbewerb”. Dies senkt die Einstiegsbarriere für andere Cyberkriminelle erheblich. Bereits mehrere Nachahmer-Varianten mit eigener Command-and-Control-Infrastruktur wurden entdeckt.
Eine weitere technische Sophistication zeigt sich in der Missbrauch von Sigstore-Attestationen. Der Malware-Code nutzt OIDC-Token aus CI/CD-Umgebungen, um Artefakte mit legitimen Sigstore-Zertifikaten zu signieren – was es fast unmöglich macht, manipulierte Versionen von authentischen zu unterscheiden. Dies unterläuft grundlegende Supply-Chain-Sicherheitsmechanismen wie SLSA-Provenance-Überprüfungen.
Für betroffene Organisationen gelten nun kritische Sofortmaßnahmen: vollständige Rotation aller Credentials, Aktivierung von Zwei-Faktor-Authentisierung, Audit von GitHub auf Shai-Hulud-bezogene Marker und Migration zu bekannt sicheren Paketversionen. Das Incident zeigt: Ohne radikales Überdenken der npm-Registry-Sicherheit werden solche Attacken zunehmen.