Forscher von Endor Labs weisen darauf hin, dass einige der betroffenen Pakete – etwa timeago.js, size-sensor und jest-canvas-mock – lange kein legitimes Update mehr erhalten hatten und daher seltener die Sicherheitsfunktion „OIDC Trusted Publishing" aktiviert hatten. jest-canvas-mock etwa kommt weiterhin auf zehn Millionen monatliche Downloads, ruht aber seit rund drei Jahren. Socket pflegt eine Liste der von allen Shai-Hulud-Angriffen betroffenen Paket-Artefakte, die inzwischen über 1.000 Einträge umfasst.
Die Shai-Hulud-Kampagnen begannen im vergangenen September und betreffen weiterhin mehrere Software-Ökosysteme, darunter npm, PyPI und – in geringerem Umfang – Composer. Die Schadsoftware übernimmt Maintainer-Konten oder Veröffentlichungs-Tokens, um legitime Pakete mit Schadcode auszuliefern, der Entwickler- und CI/CD-Geheimnisse stiehlt und sich über die erbeuteten Zugangsdaten auf weitere Projekte ausbreiten kann.
Die jüngste Welle schleust eine stark verschleierte Datei „index.js" ein, die Zugangsdaten zu GitHub, npm, Cloud-Diensten, Kubernetes, Vault, Docker, Datenbanken und SSH abgreift. Im Visier stehen vor allem Entwickler-Arbeitsplätze und CI/CD-Umgebungen, darunter GitHub Actions, GitLab CI, Jenkins, Azure DevOps, CircleCI, Vercel und Netlify. Die gestohlenen Daten werden serialisiert, mit Gzip komprimiert, per AES-256-GCM verschlüsselt und mit RSA-OAEP umschlossen, um die Analyse des Netzwerkverkehrs zu erschweren.
Liegen GitHub-Zugangsdaten vor, erstellt die Schadsoftware über die GitHub-API automatisch neue Repositories unter dem Konto des Opfers und lädt dort die gestohlenen Daten hoch. Diese Repositories enthalten eine Readme-Datei mit der Zeichenfolge „niaga og ew ereh :duluh-iahs" – rückwärts gelesen „Shai-Hulud: Here We Go Again". Die Sicherheitsplattform Aikido zählte über 2.700 solcher Repositories anhand der Kampagnen-Merkmale auf GitHub; eine Suche vor Veröffentlichung dieses Artikels ergab mindestens 2.900.
Hauptkanal für die Datenabfluss bleibt jedoch die Adresse filev2.getsession[.]org/file/ über das Session-P2P-Netzwerk; Microsoft nannte zusätzlich den Endpunkt t.m-kosche.com. Laut Endor Labs handelt es sich dabei um Ende-zu-Ende-verschlüsselten Verkehr über TCP/443, der auf Netzwerkebene nicht von legitimem Session-Datenverkehr zu unterscheiden sei – es gebe „keinen klassischen C2-Endpunkt, den man anhand von Hostname oder IP blockieren könnte".
Neu in dieser Variante ist laut Endor Labs die Fähigkeit, gültige Sigstore-Provenance-Attestierungen zu erzeugen, indem OIDC-Tokens aus kompromittierten CI-Umgebungen missbraucht und an Fulcio und Rekor übermittelt werden. Eine ähnliche Funktion war bereits bei dem TanStack-Angriff zu beobachten, der TeamPCP zugeschrieben wird. Dadurch können schädliche npm-Pakete als rechtmäßig signiert erscheinen und gängige Provenance-Prüfungen bestehen, obwohl sie Schadcode zum Diebstahl von Zugangsdaten enthalten.
Auch die Selbstverbreitung ist vorhanden: Die Schadsoftware prüft gestohlene npm-Tokens, ermittelt die Pakete des Opfers, lädt deren Archive herunter, injiziert den Schadcode und veröffentlicht die infizierten Pakete mit erhöhter Versionsnummer erneut. Da der Shai-Hulud-Code kürzlich von der Gruppe TeamPCP auf GitHub geleakt und bereits für Angriffe genutzt wurde, ist die Zuordnung der neuen Kampagne erschwert.
Socket zufolge unterscheidet sich diese Variante technisch von früheren Mini-Shai-Hulud-Payloads, teilt aber dieselben operativen Merkmale: Sie nutzt eine index.js auf Wurzelebene, einen anderen primären C2-Endpunkt und einen kleineren Payload-Körper. Aikido Security bestätigt das gleichbleibende Grundmodell, weist aber auf Unterschiede hin – die Payload sei nun kleiner, und es gebe Persistenz durch Hintertüren in den Konfigurationen von VS Code und Claude Code. Das deute darauf hin, dass „der Angreifer darüber nachdenkt, was passiert, nachdem die anfängliche Kompromittierung bereinigt wurde".
Entwicklern, die infizierte Pakete heruntergeladen haben, wird geraten, sie sofort zu entfernen oder auf eine vor dem 18. Mai veröffentlichte, als sicher bekannte Version zurückzustufen und anschließend alle offengelegten Zugangsdaten zu widerrufen und zu erneuern. Berichte von Socket, Endor Labs, Aikido Security und Step Security enthalten Kompromittierungsindikatoren sowie Hinweise zur Erkennung und Behebung.
