Nach Angaben von SafeDep liefen die 5.718 Commits gegen 5.561 unterschiedliche Repositories am 18. Mai 2026 zwischen 11:36 und 17:48 Uhr UTC. Der Angreifer wechselte dabei zwischen vier Autorennamen — build-bot, auto-ci, ci-bot und pipeline-bot — sowie sieben Commit-Nachrichten, die allesamt routinemäßige CI-Wartung vortäuschten.

Für die Verschleierung nutzte der Angreifer Wegwerf-GitHub-Konten mit zufälligen achtstelligen Benutzernamen (etwa rkb8el9r, bhlru9nr, lo6wt4t6), manipulierte die git-Konfiguration zur Fälschung der Autorenidentität und schob die Commits über kompromittierte PATs oder Deploy-Schlüssel ein.

Beobachtet wurden zwei Varianten der Payload: SysDiag als Massenvariante, die einen neuen Workflow ergänzt, der bei jedem Push und Pull Request ausgelöst wird, sowie Optimize-Build als gezielte Variante, die nur bei workflow_dispatch aktiv wird — einem GitHub-Actions-Auslöser, mit dem sich Workflows manuell starten lassen. Im Fall von Tiledesk dient der gezielte Ansatz dazu, CI/CD-Runner anzugreifen, und greift nicht beim Installieren des npm-Pakets.

Den Kompromiss beschreibt SafeDep so: Ein Auslöser bei jedem Push würde die Ausführung bei jedem Commit auf master garantieren und ohne Zutun mehr Ziele erreichen. Workflow_dispatch opfert diese Reichweite zugunsten der Tarnung — bei mehr als 5.700 kompromittierten Repositories genüge bereits ein kleiner Anteil nutzbarer GITHUB_TOKEN, um genug Ziele für ein bedarfsgesteuertes Auslösen zu haben.

Die Kampagne ordnet sich in das Umfeld der Gruppe TeamPCP ein, die laut Bericht die vernetzte Software-Lieferkette ausgenutzt hat, um hunderte quelloffene Werkzeuge zu kompromittieren, sich durch mehrere Ökosysteme zu fressen und Opfer in einigen Fällen zu erpressen. Das zu Microsoft gehörende GitHub ist der jüngste Eintrag auf der Opferliste der Gruppe, zu der auch TanStack, Grafana Labs, OpenAI und Mistral AI zählen. Die Gruppe gilt als finanziell motiviert und hat Partnerschaften mit BreachForums sowie weiteren Erpressergruppen wie LAPSUS$ und VECT geknüpft. Zudem scheint sie geopolitisch motiviert zu sein: Auf Maschinen in Iran und Israel wurde Wiper-Malware eingesetzt.

„Wir sind in eine neue Ära der Angriffe auf die Lieferkette eingetreten, und dass TeamPCP GitHub kompromittiert hat, war erst der Anfang", sagte Moshe Siman Tov Bustan von OX Security. „Was als Nächstes kommt, ist eine endlose Welle, ein Tsunami an Cyberangriffen auf Entwickler weltweit."

Als Reaktion auf die Angriffsserie von TeamPCP und den Wurm Mini Shai-Hulud hat npm granulare Zugriffstoken mit Schreibrechten für ungültig erklärt, die die Zwei-Faktor-Authentifizierung umgehen. Zugleich drängt npm darauf, auf Trusted Publishing umzustellen. Die Sicherheitsfirma Socket merkte dazu an, dass npm durch das Entwerten sämtlicher solcher Token zwar die bereits vom Wurm gesammelten Zugangsdaten kappe — die Maßnahme verschaffe jedoch nur Luft und schließe nicht die zugrunde liegende Lücke, da der weiterhin aktive Wurm neu ausgestellte Token erneut abgreife.

Anders gelagert ist ein Fall rund um das Wegwerf-Konto „polymarketdev", das innerhalb von 30 Sekunden neun bösartige npm-Pakete veröffentlichte, die sich als Trading-CLI-Werkzeuge von Polymarket ausgaben, um über einen postinstall-Hook private Ethereum- und Polygon-Schlüssel zu stehlen. Laut SafeDep zeigt ein postinstall-Skript bei der Installation eine gefälschte Wallet-Einrichtung an, die den Nutzer auffordert, seinen privaten Schlüssel einzufügen, mit der Behauptung, dieser „bleibt verschlüsselt". Tatsächlich sendet das Skript den Schlüssel im Klartext an einen Cloudflare Worker unter hxxps://polymarketbot.polymarketdev.workers[.]dev/v1/wallets/keys. Die Pakete waren zum Zeitpunkt der Veröffentlichung weiterhin über npm abrufbar.