Die Shai-Hulud-Kampagne zeigt ein koordiniertes Vorgehen, das klassische Supply-Chain-Attacken neu definiert. Cyberkriminelle kompromittierten zunächst das npm-Konto “atool”, das für die Verwaltung der @antv-Pakete zuständig ist. Innerhalb nur einer Stunde (01:56 bis 02:56 UTC) wurden 639 malware-infizierte Versionen über 323 unterschiedliche Pakete verbreitet. Besonders tückisch: Der Angriff zielt auf vernachlässigte Projekte ab. Das Paket “jest-canvas-mock” etwa hatte drei Jahre keine legitimen Updates erhalten und verfügt daher nicht über die OIDC-Trusted-Publishing-Sicherheitsfunktion – eine Sicherheitslücke, die Cyberkriminelle gezielt ausnutzen.
Die Malware-Payload ist hochgradig verschleiert und injiziert sich als “index.js” in die betroffenen Pakete. Sie extrahiert Zugangsdaten aus GitHub, npm, Cloud-Providern (AWS, Azure, Google Cloud), Kubernetes, HashiCorp Vault, Docker, Datenbanken und SSH-Schlüsseln. Als Transportmechanismus dient das Session-P2P-Netzwerk unter der Adresse filev2.getsession[.]org/file/. Der verschlüsselte Datenverkehr (AES-256-GCM mit RSA-OAEP-Wrapping) ist auf TCP/443 nicht von legitimer Session-App-Kommunikation zu unterscheiden – ein erhebliches Problem für Netzwerk-Sicherheitsteams.
Eine neue, besonders gefährliche Funktion ist die Generierung gefälschter Sigstore-Provenance-Attestierungen. Die Malware missbraucht OpenID-Connect-Token aus kompromittierten CI-Umgebungen, um SLSA-Attestierungen (Supply-chain Levels for Software Artifacts) zu erzeugen. Dadurch erscheinen infizierte Pakete als legitimately signed – ein Mechanismus, der Standard-Verifizierungsprüfungen unterlaufen kann.
Die Selbstverbreitungsfähigkeit verschärft das Problem zusätzlich. Die Malware validiert gestohlene npm-Token, enumeriert Pakete des Opfers, lädt die Tarballs herunter, injiziert die Payload und republiziert die infizierten Versionen mit erhöhten Versionsnummern.
Die Sicherheitsunternehmen Socket, Endor Labs, Aikido Security und Step Security dokumentieren über 1.000 betroffene Paket-Artefakte und mehr als 2.900 manipulierte GitHub-Repositories. Die Repos enthalten eine Readme-Datei mit dem String “niaga og ew ereh :duluh-iahs” – dem Rückwärts-Shai-Hulud-Meme.
Deutsche Entwickler sollten sofort alle npm-Pakete vom 18. Mai überprüfen, betroffene Versionen deinstallieren und ALLE Credentials rotieren: GitHub-Tokens, SSH-Schlüssel, Cloud-Zugangsdaten und Datenbank-Passwörter. VS Code und Claude Code Konfigurationen sollten auf unerwartete Backdoors hin überprüft werden.